漏洞告警-深信服EDR远程命令执行漏洞

深信服EDR远程命令执行漏洞

2020年8月18日，阿里云应急响应中心监测到深信服终端检测响应平台（EDR）远程命令执行漏洞。攻击者利用该漏洞可远程执行系统命令，获得目标服务器的权限，风险较高。

漏洞描述

深信服终端检测响应平台是深信服公司开发的一套EDR系统。攻击者利用该漏洞，可向目标服务器发送恶意构造的HTTP请求，从而获得目标服务器的权限，实现远程代码控制执行。阿里云应急响应中心提醒深信服EDR用户尽快采取安全措施，联系官方寻求技术排查和漏洞修复。

影响版本

EDR v3.2.16

EDR v3.2.17

EDR v3.2.19

安全建议

1. 建议用户尽快采用止损操作规避风险，禁止EDR管理界面对公网开放，然后联系深信服官方寻求技术排查和漏洞修复。

2. 深信服官方已于2020年08月18日发布针对该次EDR漏洞事件的整体修复方案，具体完整修复方案请见《关于深信服EDR远程命令执行漏洞的说明》。

3.使用雷石安全实验室开发的批量检测工具检测：

 相关链接

https://mp.weixin.qq.com/s/rX__Zt--QWaTvwrissQxhg