报告编号：B6-2020-040601

报告来源：360-CERT

报告作者：360-CERT

更新日期：2020-04-06

0x01 事件背景

2020年04月06日，深信服官方发布了一则境外非法组织利用深信服SSL VPN设备下发恶意文件并发起APT攻击活动的通告。

深信服SSL VPN 是国内企业内主要采用的远程接入方案之一。该事件所利用的漏洞为Windows 客户端升级模块签名验证缺陷。导致已取得SSL VPN控制权限的攻击者可以向Windows 客户端推送执行恶意文件，进而控制客户端主机（具体见参考2）。

深信服官方已经于4月6日发布设备版本M6.3R1 M6.1的修复补丁，建议相关用户尽快启动排查。

0x02 风险等级

360CERT对事件进行评定

360CERT建议广大用户及时更新深信服SSL VPN。做好资产 自查/自检/预防 工作，以免遭受攻击。

0x03 影响版本

目前官方确认如下两个版本受到影响

• M6.3R1
• M6.1

0x04 修复建议

深信服官方修复建议如下:

1. 建议用户限制外网或非信任IP访问VPN服务器的4430控制台管理端口，阻断黑客针对VPN服务器管理后台进行的攻击；

2. 建议加强账号保护，使用高强度的密码，防止管理员密码被暴力破解；

3. 在深信服官方渠道发布篡改检测脚本后，使用脚本检测设备是否被入侵，如被入侵，联系深信服技术人员采用专杀工具对木马文件彻底查杀；

4. 通过打补丁做好修复工作，补丁将通过官方渠道发布；

5. 深信服SSL VPN用户如需协助排查，可以联系深信服当地技术服务团队或拨打400-630-6430电话获取支持，我司技术服务人员将全力协助您进行处置和修复。

0x05 时间线

2020-04-06 深信服官方发布事件通告

2020-04-06 360CERT发布预警

0x06 参考链接

1. 关于境外非法组织利用深信服SSL VPN设备下发恶意文件并发起APT攻击活动的说明
2. 事件分析报告