針對近日某黑客組織利用個別深信服用戶的SSL VPN設備漏洞的事件，深信服第一時間成立應急事件小組，研究應對本次事件的用戶對策。

經(jīng)過48小時的不懈努力，深信服已完成全面安全風險排查，緊急發(fā)布SSL VPN產(chǎn)品修復補丁。用戶安裝修復補丁升級SSL VPN產(chǎn)品后，可自動更新并恢復被篡改的客戶端，抵御惡意攻擊。除修復補丁外，針對本次惡意攻擊，深信服已上線包含篡改檢測工具、惡意軟件查殺工具等在內(nèi)的整體解決方案，用戶可根據(jù)自身情況安裝使用，全面消除安全隱患。

事件溯源

經(jīng)深信服千里目實驗室分析發(fā)現(xiàn)，該事件的始作俑者為某黑客組織，其通過密碼爆破等手段控制少量深信服SSL VPN設備，并利用SSL VPN客戶端升級漏洞下發(fā)惡意文件到客戶端，威脅用戶安全。

本次漏洞系SSL VPN設備Windows客戶端升級模塊簽名驗證機制的缺陷，但該漏洞利用前提需通過獲取SSL VPN設備管理員賬號密碼等方式控制SSL VPN設備的權限，因此利用難度較高。經(jīng)深信服監(jiān)測，目前受影響用戶數(shù)量有限。

深信服應對方案指引

1.安裝客戶端修復補丁

針對此次發(fā)現(xiàn)的漏洞，深信服已全面排查安全隱患，SSL VPN產(chǎn)品修復補丁已正式發(fā)布。

修復補丁包下載地址：

https://bbs.sangfor.com.cn/activity.php?mod=packs

※操作指南：下載補丁包后，在VPN設備上升級該補丁包，升級后客戶端用戶登錄VPN時將自動更新修復后的客戶端。

2.使用專屬腳本檢測工具檢測

深信服已發(fā)布SSL VPN設備篡改檢測腳本工具，對于擔心VPN設備被惡意入侵的用戶，可使用該腳本工具自行檢測SSL VPN設備是否被控制篡改。

自檢工具地址及使用說明文檔：

http://download.sangfor.com.cn/download/product/sslvpn/SSL VPN設備EC控件檢測工具v1.1.zip

（請復制上述完整地址進行下載查看）

3.使用惡意文件查殺工具查殺

針對入侵SSL VPN設備的惡意文件，深信服已發(fā)布32位和64位系統(tǒng)的查殺工具，實現(xiàn)惡意文件的徹底查殺。如果自檢確認遭受惡意文件感染，請通過下方鏈接下載安裝惡意文件查殺工具，消除威脅。

32位系統(tǒng)查殺工具下載地址：

http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X86.zip

64位系統(tǒng)查殺工具下載地址：

http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X64.zip

※操作指南：下載運行查殺工具后，點擊「全盤掃描」按鈕，即可進行全盤查殺。

深信服終端檢測響應平臺EDR也已支持檢測查殺該惡意文件，安裝EDR的用戶只需更新規(guī)則庫到20200406135939及以上版本，即可全網(wǎng)查殺該惡意木馬。

4. 7*24 專家技術支持

針對受影響用戶，深信服已啟動7*24小時安全專家服務，用戶可根據(jù)實際情況，選擇線上遠程協(xié)助；如情況嚴重，深信服將派駐安全專家上門修復。

聯(lián)系方式：可聯(lián)系深信服當?shù)丶夹g服務團隊或安徽靈狐科技獲取支持

用戶安全始終是深信服的價值依歸，深信服將對現(xiàn)有產(chǎn)品進行全面的檢視和更嚴格的驗證測試，致力于為用戶提供更加安全的產(chǎn)品、服務和解決方案；同時，我們也將更快速地響應用戶的實際需求、聆聽用戶的反饋建議。

感謝您對深信服長期以來的支持和關注，深信服將持續(xù)優(yōu)化產(chǎn)品和服務，為您的業(yè)務安全合規(guī)開展提供保障！