预警背景描述
近期,互联网上曝出深信服终端检测平台(EDR)远程命令执行
漏洞。攻击者利用该漏洞可远程执行系统命令,获得目标服务器的权
限。
目前,深信服官方已发布更新版本和补丁,铱迅安全服务团队建
议相关用户尽快更新至 3.2.21 版本或升级补丁可修复该漏洞。
预警描述
终端检测响应平台(EDR)是由深信服科技股份有限公司开发的
终端安全解决方案。EDR 管理平台支持统一化的终端资产管理、终端
病毒查杀、终端合规性检查和访问控制策略管理,支持对安全事件的
一键隔离处置,以及对热点事件 IOC 的全网威胁定位。绝大多数的
EDR 管理平台部署于内网环境中,少数系统可以通过外网地址访问。
深信服终端检测平台(EDR)存在远程命令执行漏洞。攻击者利
用该漏洞,可在未授权的情况下向目标服务器发送恶意构造的 HTTP
请求,从而获得目标服务器的权限,实现远程命令执行。
漏洞危害
攻击者利用该漏洞可远程执行系统命令,获得目标服务器的权限。
受影响范围
深信服 EDR 3.2.16 版本
深信服 EDR 3.2.17 版本
深信服 EDR 3.2.19 版本
修复建议
目前,深信服官方已发布更新版本和修复补丁,铱迅安全服务团
队建议使用深信服 EDR 系统信息系统运营者及时自查,发现存在漏
洞后,可按照下列方法及时进行加固处置:
1) 深信服已经通过在线升级功能完成漏洞补丁的在线升级修复,
用户开启在线升级功能后即可升级至最新版本。
2) 针对未开通在线升级功能的用户,深信服将通过客服热线主
动指导用户升级,直至升级成功。同时,用户也可以通过自
行下载 3.2.21 版本升级安装包,然后打开 EDR 管理平台
后台,在系统管理--升级管理--平台和终端升级中导入该下
载升级安装包,导入后,管理平台和终端将自动升级至
3.2.21 版本。
3) 如暂时无法升级,可临时对深信服 EDR 系统服务配置 IP 访
问权限策略,将其可访问的 IP 范围控制在安全可控的区域
内。
