预警深信服SSL VPN url参数命令注入漏洞(CNVD-2020-57240​)

释放双眼,带上耳机,听听看~!

近日,本站安全专题监测到深信服官方发布安全公告,披露其部分版本SSL VPN中存在命令注入漏洞。

漏洞描述

深信服SSL VPN是国内企业内主要采用的远程接入方案之一。近日,本站安全专题监测到深信服官方发布安全公告,披露其SSL VPN存在命令注入漏洞。攻击者通过构造恶意请求,利用url参数进行命令注入,从而控制服务器。深信服SSL VPN已针对该漏洞提供补丁。本站安全专题提醒深信服SSL VPN用户尽快采取安全措施阻止漏洞攻击。

影响版本

深信服SSL VPN <= 7.6.7

安全版本

深信服SSL VPN > 7.6.7

安全建议

1、升级深信服VPN至最新版本。

2、定期进行管理员密码修改,且满足一定的密码复杂度。建议包含大写、小写、特殊字符、数字至少三种的组合方式。

3、请确保当前产品面向互联网的控制台访问权限处于关闭状态,如需进行远程运维等工作,可采用SSL VPN等方式接入内网后进行。

4、设置当前产品的控制台登录IP地址白名单限制,只允许运维人员的IP地址登录控制台。

5、关闭当前产品非必要开放端口,如远程维护端口、SSH端口。

相关链接

https://www.sangfor.com.cn/service/notice.html#/details/Sangfor_2020_0010

https://www.cnvd.org.cn/flaw/show/CNVD-2020-57240

安全云中心应急漏洞模块已支持对该漏洞一键检测

我们会关注后续进展,请随时关注官方公告。

内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。

本站安全专题

2020.12.30

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

预警Nexus Repository Manager 3.x 远程代码执行漏洞(CVE-2020-15871)

2020-10-16 11:36:11

安全漏洞

预警Gitlab markdown 远程代码执行漏洞

2021-2-26 11:36:11

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索