双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

關(guān)于美國凹凸科技(O2security)公司SSL-VPN設(shè)備存在多個高危漏洞的情況通報

2014-01-29 14:14:41

安全公告編號:CNTA-2014-0006

VPN設(shè)備主要用于建立從互聯(lián)網(wǎng)直接訪問內(nèi)部網(wǎng)絡(luò)的連接。近期,我中心主辦的國家信息安全漏洞共享平臺(CNVD)對美國凹凸科技(O2security)生產(chǎn)的SSL-VPN設(shè)備進(jìn)行分析,確認(rèn)其存在多個高危漏洞。利用漏洞可遠(yuǎn)程控制VPN設(shè)備,進(jìn)而竊取內(nèi)部網(wǎng)絡(luò)的敏感信息。CNVD測試發(fā)現(xiàn)漏洞還影響到多家國內(nèi)網(wǎng)絡(luò)設(shè)備廠商的代碼同源產(chǎn)品,有數(shù)十家國內(nèi)政府、高校和重要部門用戶受到漏洞威脅。經(jīng)多次協(xié)調(diào),目前該公司仍未對漏洞進(jìn)行應(yīng)急響應(yīng)。具體情況通報如下:

一、漏洞情況分析

凹凸科技(O2security) 是美國知名網(wǎng)絡(luò)設(shè)備生產(chǎn)商。2013年6月和2014年1月,CNVD分析了該公司以PHP為開發(fā)語言的部分SSL-VPN設(shè)備存在的文件包含、遠(yuǎn)程代碼執(zhí)行、調(diào)試后門默認(rèn)口令、信息泄露等漏洞(收錄編號:CNVD-2013-06510、CNVD-2014-00666)。

(一)文件包含漏洞(CNVD-2013-06510)

部分設(shè)備存在一處漏洞頁面(sub_ca_action.php),該頁面對提交的POST請求未進(jìn)行過濾,可以直接讀取VPN設(shè)備操作系統(tǒng)中的文件,包括:系統(tǒng)配置文件、數(shù)據(jù)文件等,構(gòu)成信息泄露風(fēng)險。該漏洞也可被利用發(fā)起進(jìn)一步的攻擊。

(二)PHP代碼執(zhí)行漏洞(CNVD-2013-06510)

部分設(shè)備存在一處漏洞頁面(minica_down.php),該頁面對提交的POST請求未進(jìn)行過濾,可通過構(gòu)造特定的PHP代碼向VPN設(shè)備上傳后門文件,達(dá)到遠(yuǎn)程控制的目的。

(三)調(diào)試后門默認(rèn)口令漏洞(CNVD-2013-06510)

部分設(shè)備存在一處調(diào)試功能頁面(debug.php),用管理員權(quán)限賬號(o2micro)和默認(rèn)口令可連接成功,進(jìn)而執(zhí)行系統(tǒng)指令。

(四)文件包含漏洞(CNVD-2014-00666)

部分設(shè)備存在一處漏洞頁面(暫不披露),該頁面對提交的POST請求未進(jìn)行過濾,可以下載讀取、刪除VPN設(shè)備操作系統(tǒng)中的任意文件,包括:配置文件、源碼文件等,構(gòu)成信息泄露和運(yùn)行風(fēng)險。該漏洞也可被利用發(fā)起進(jìn)一步的攻擊。

(五)PHP代碼執(zhí)行漏洞(CNVD-2014-00666)

部分設(shè)備存在多處文件上傳漏洞頁面(暫不披露),頁面對提交的POST請求未進(jìn)行過濾,可通過構(gòu)造特定的PHP代碼向VPN設(shè)備上傳后門文件,達(dá)到遠(yuǎn)程控制的目的。

(六)信息泄露漏洞(CNVD-2014-00666)

部分設(shè)備未對管理控制界面對應(yīng)的系統(tǒng)目錄和文件做好訪問權(quán)限控制,如:htdocs目錄和httpd.conf文件,攻擊者可以直接訪問上述文件,獲得頁面源代碼信息或可用于滲透攻擊所用的設(shè)備配置文件信息。

二、漏洞影響評估

CNVD對上述漏洞的綜合評級為“高危”。測試發(fā)現(xiàn)多家國內(nèi)設(shè)備廠商生產(chǎn)的SSL-VPN設(shè)備采用了與凹凸科技(O2security) SSL-VPN設(shè)備代碼同源的軟件系統(tǒng),同樣會受到漏洞的影響。根據(jù)CNVD抽樣檢測結(jié)果,有數(shù)十家政府部門、高等院校以及企事業(yè)單位采用的SSL-VPN設(shè)備存在所述漏洞。目前,CNVD尚未能通過技術(shù)測試明確受漏洞影響的設(shè)備具體型號和版本。

三、漏洞處置情況和后續(xù)建議

CNVD在2013年6月向美國凹凸科技(O2security)郵件通報了部分漏洞情況;2014年1月16日,CNVD向美國凹凸科技(O2security)駐中國研發(fā)部門通報了后續(xù)漏洞情況,均未獲回應(yīng)。此外,CNVD向受較大影響的國內(nèi)3家設(shè)備廠商也通報了漏洞情況,要求提供漏洞解決方案并做好用戶的應(yīng)急響應(yīng)工作。

為有效處置漏洞威脅,相關(guān)處置建議如下:

(一)建議國內(nèi)VPN設(shè)備廠商進(jìn)行自查,看是否有采用了與凹凸科技(O2security) SSL-VPN設(shè)備同源軟件代碼的產(chǎn)品,聯(lián)系CNVD,協(xié)同對設(shè)備進(jìn)行安全測試;

(二)凹凸科技(O2security)SSL-VPN設(shè)備用戶可以聯(lián)系生產(chǎn)廠商,要求提供漏洞解決方案。

? CNCERT/CNVD將繼續(xù)跟蹤事件后續(xù)情況,做好國內(nèi)相關(guān)用戶受影響情況的監(jiān)測和預(yù)警工作。如需技術(shù)支援,請聯(lián)系CNCERT/CNVD。電子郵箱:vreport@cert.org.cn,聯(lián)系電話:010-82990286。


注:上述漏洞信息由WOOYUN白帽子紫夢芊、felixk3y提供。