全球新冠疫情还在不断蔓延，但却丝毫没有影响黑客的动作，甚至还在接着疫情使出各种新花招。日前，深信服 SSL VPN 设备被曝存在漏洞，APT组织Darkhotel（APT-C-06）利用该组织对我国多驻外机构发起攻击，甚至近期已经开始针对北京、上海等地政府相关机构。

根据深信服官网的产品信息，其SSL VPN客户端并发授权已累计使用超过260万个，服务于全国18000多家各行业客户，并且入围了中央政府、国税总局、建设银行、中国移动、联通集团等高端行业的采购清单。

这既是产品实力体现，但也同时承担着相应的安全压力。一旦出现重大漏洞，影响范围也是非常巨大。于是在4月3日收到漏洞报告之后，深信服紧急发布SSL VPN产品修复补丁，完成全面安全风险排查，并且在第一时间发布安全公告公布详细的修复方案。

黑客组织针对中国驻外机构，并已波及国内部分政府机构

360安全大脑捕获到了这一系列攻击行为，攻击者来自半岛的APT组织Darkhotel（APT-C-06）。其通过密码爆破等手段控制少量深信服SSL VPN设备，并利用SSL VPN客户端升级漏洞下发恶意文件到客户端，威胁用户安全。

本次漏洞系SSL VPN设备Windows客户端升级模块签名验证机制的缺陷，但该漏洞利用前提需通过获取SSL VPN设备管理员账号密码等方式控制SSL VPN设备的权限，因此利用难度较高。经深信服监测，目前受影响用户数量有限。

详细的攻击过程可以查阅:中国驻外机构正遭受攻击！深信服VPN设备成境外国家级黑客突破口

据悉，目前已经监测到中国在意大利、英国、巴基斯坦、以色列等多达19个国家的驻外机构已经遭到攻击。

与此同时，以下国内机构部分相关人员也受到此次攻击活动的影响。

这次漏洞所影响的SSL VPN设备版本为M6.3R1和M6.1，版本相对较旧，存在一些历史遗留漏洞。

而部分单位的运维人员安全意识欠缺，竟然直接把客户敏感信息保存在工作页上，可以在搜索引擎中找到。

修复方案及建议

目前，深信服已经发布针对该漏洞的产品修复补丁，同时上线上线包含篡改检测工具、恶意软件查杀工具等在内的整体解决方案：

1.修复补丁包下载地址：

https://bbs.sangfor.com.cn/activity.php?mod=packs

*操作指南：下载补丁包后，在VPN设备上升级该补丁包，升级后客户端用户登录VPN时将自动更新修复后的客户端。

2.使用专属脚本检测工具检测自检工具地址及使用说明文档：

http://download.sangfor.com.cn/download/product/sslvpn/SSL VPN设备EC控件检测工具v1.1.zip

3.使用恶意文件查杀工具查杀

32位系统查杀工具下载地址：

http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X86.zip

64位系统查杀工具下载地址：

http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X64.zip

官方建议用户限制外网或非信任IP访问VPN服务器的4430控制台管理端口，阻断黑客针对VPN服务器管理后台进行的攻击；同时，加强账号包用户，使用高强度密码，防止管理员密码被暴力破解。

参考链接：

1.中国驻外机构正遭受攻击！深信服VPN设备成境外国家级黑客突破口

2.公告丨深信服发布针对SSL VPN漏洞的整体修复方案

*本文作者：百里不守约，转载请注明来自FreeBuf.COM