您是否要退出?
2020年4月5日晚,奇安信CERT监测到有消息称深信服的VPN设备存在漏洞被黑客组织用来执行有限的针对性攻击。目前,这一信息已经得到深信服的官方确认。
鉴于此事件影响较大,建议客户尽快采取处置建议。
奇安信 CERT
2020年4月5日晚,奇安信CERT监测到有半公开渠道的消息称深信服的VPN设备存在漏洞被黑客组织用来执行有限的针对性攻击。此消息目前已经得到深信服官方的确认。通告中称该事件为境外非法组织通过非法手段控制部分深信服SSL VPN设备,并利用客户端升级漏洞下发恶意文件到客户端的APT攻击活动。
经奇安信对相关细节分析确认,至少有2波不同来源的攻击者执行过类似路径的攻击,已观察到少量受影响用户。
奇安信 CERT风险评级为:中危
风险等级:蓝色(一般事件)
厂商称确认遭受攻击的SSL VPN设备版本为M6.3R1版本、 M6.1版本。
厂商称影响的设备版本为SSL VPN设备版本M6.3R1和M6.1,用户如果使用了受影响的VPN设备,建议用户下线替换设备,检查该设备是否已经被利用,如果没有被利用,则按参考链接中深信服公告所建议联系厂商处置。清查网络安全设备日志,检查是否已经渗透到相应使用VPN的客户端或者是否进入到内网。
天擎和天眼用户基于我们在IOCs节中给出的IOC进行受攻击迹象排查,或报送如下路径的文件:
%userprofile%\appdata\roaming\sangfor\ssl\sangforupd.exe
到奇安信对口销售人员或对接运营人员,也可发送到邮箱 ti_support@qianxin.com ,我们会反馈检测判定结果。
攻击路径:
攻击者利用深信服VPN设备的已知远程漏洞或弱口令获取对设备的控制。修改VPN的升级配置文件,篡改升级包下载相关的配置信息,指向攻击者控制的恶意文件和对应文件MD5。
装有深信服VPN客户端的电脑更新程序检测到有更新,会调用命令行参数升级,命令行参数如下:
C:\Program Files\Sangfor\SSL\SangforUpdate\SangforUD.exe "54423&54423" 1 0 ivpn.******.com 443 0123456789abcdef "" "" DIRECT
从服务器取回来配置文件和更新包文件后,恶意代码会得到执行。攻击者电脑上植入了木马文件,使用的路径如下:
%userprofile%\appdata\roaming\sangfor\ssl\sangforupd.exe
IOCs
文件MD5
a32e1202257a2945bf0f878c58490af8
c5d5cb99291fa4b2a68b5ea3ff9d9f9a
967fcf185634def5177f74b0f703bdc0
IP
103.216.221.19
[1]https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw
2020年4月6日,奇安信 CERT发布安全风险通告
