欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

深信服SSL VPN命令注入漏洞

 

sssssssssssssssssss.png

深信服 SSL VPN 使具有 Internet 连接的设备能够与 Web 浏览器建立安全的远程访问 VPN 连接。

2020年12月30日,深信服官方发布了SSL VPN 命令注入漏洞的风险通告,该漏洞暂无编号 ,漏洞等级:严重,漏洞评分:9.8。深信服SSL VPN产品的某接口中url参数存在注入漏洞,攻击者可利用该漏洞获取SSL VPN设备的控制权限。建议相关用户及时将深信服 SSL VPN 升级到最新版本。

影响范围

SSL VPN <= 7.6.7

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="SANGFOR-SSL-VPN")共有86,875 个相关服务对外开放。中国使用数量最多,共有 77,059 个;美国第二,共有 2,346 个;中国香港第三,共有 2,287 个;马来西亚第四,共有 908 个;印度尼西亚第五,共有 717 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

image-20201230180421924.png

中国大陆地区广东使用数量最多,共有 11,483 个;北京第二,共有 7,935 个;上海第三,共有 5,679 个,浙江第四,共有 4,284 个;江苏第五,共有 2,490 个。

image-20201230180638683.png

修复建议

  1. 升级到SSL VPN 7.6.7以上版本或安装最新安全补丁包,用户可以利用深信服提供的漏洞查询链接进行自查:

    https://www.sangfor.com.cn/service/intro-eventSearch.html?p=SSL


暂无

您可能还会对下面的文章感兴趣: