速报:某EDR产品服务端RCE 0day漏洞临时加固方案

于 2024-07-21 22:22:53 发布
阅读量245 收藏 4
点赞数 5
文章标签: 网络 安全 web安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71692682/article/details/140601131
版权

aae54f32b4fbf8811fcdfa58369efe4f.png

 Part1 前言 

大家好,我是ABC_123。一年一度的大考即将开始了,坊间确切消息,某EDR的服务端存在RCE的0day漏洞,具体影响版本不详。这里ABC_123给大家提供一个临时的加固方案,有其他修补建议欢迎在文末给我留言。

 Part2 研究过程 

一般一个单位最快出局的方法就是:外网打一个点或者钓鱼邮件获取权限,内网使用0day/1day干掉集权类系统,然后下发命令或者直连靶标,随后该单位直接出局。

8f86d838f54d92420ad9e746b387cdc2.jpeg

所以这种0day危害特别大,跟几个朋友讨论了一下,给出的临时加固方案如下:

 1   EDR服务端所在机器异构化。可以装个强杀软或者其它的EDR客户端辅助一下,当然需要提前测好兼容性,防止两个产品打架。

 2   EDR服务端设置IP访问白名单。只允许EDR的Agent的IP进行访问,防止从业务段Web系统的IP直接访问。

 3   限制EDR服务端与靶标的文件下发和远控能力。防止EDR服务端被搞下,直连靶标,导致该单位直接出局。

 4   EDR服务端设置监控。做好数字签名新增监控,对重点文件的增、删、改、查,命令执行监控等等,这里就不细说了。

 5   限制终端EDR服务端出网。增加内网代理及内网横向的难度。

d889e1fce0111bc90a9dc1080b907536.png

公众号专注于网络安全技术,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,99%原创,敬请关注。

Contact me: 0day123abc#gmail.com

(replace # with @)

希潭实验室
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
【HW2020漏洞回顾】深信服EDR两大漏洞
wuguojie888的博客
08-20 9046
深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。支持统一化的终端资产管理、终端病毒查杀、终端合规性检查和访问控制策略管理,支持对安全事件的一键隔离处置,以及对热点事件IOC的全网威胁定位。绝大多数的EDR管理平台部署于内网环境中,少数系统可以通过外网地址访问。 NO.1 后台任意用户登陆漏洞 【详情】攻击者可以通过构造payload绕过登录判断,直接拿到系统管理员/用户权..
annuaire-entreprises.data.gouv.fr:年鉴,基里内共和国信息速报:企业的唐纳德
02-16
annuaire-entreprises.data.gouv.fr : 在企业,协会和行政管理部门中,由企业,组织和管理人员组织的一种“开放数据”。 佛得角建筑学院 Ce网站利用Next.js进行了修改: 在开发过程中,next.js可以进行常规操作。...
深信服 EDR终端检测响应平台-RCE-0day漏洞
weixin_43526443的博客
08-20 1353
注:本文仅供学习使用,请勿用于非法操作,后果与作者无关! 0x01 介绍 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。    0x02 RCE 1、本标题译为远程代码执行(remote command/code execute) 2、
深信服 EDR终端检测响应平台RCE漏洞代码分析
shy的博客
08-18 7161
一觉醒来,听说护网蓝队捕获了一个深信服的0day,待我看完这部局再分析一下。 EDR简介 终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。 fofa语法 title="终端检测响应平台" 漏洞复现 https://ip+端口/tool/log/c.php?strip_slashes=system&host=id 代码分析 将c.php文件拷贝到本地进行分析 $_REQUEST会将接入..
EDR漏洞(CNVD-2020-46552)复现
PigLL的博客
08-24 1208
影响版本:v3.2.16,3.2.17,3.2.19 环境搭建:EDR 3.2.19 kali 使kali和EDR 3.2.19同在一个网段 登录EDR 3.2.19 账号:root 密码:edr@sangfor 登陆后发现他是固定,然后将他IP改为与kali为同一网段 查看ip 任意用户登录 https://ip地址/ui/login.php?user=任意用户名 远程代码执行 利用python脚本反弹shell 使用kali监听4444端口 执行python脚本 返回kali 监听成功 ...
初学RCE(远程命令/代码执行漏洞
热门推荐
qq_43814486的博客
05-09 5万+
RCE英文全称:remote command/code execute 漏洞出现的原因: 我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。这就是一个接口,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。,这就是RCE漏洞...
log4j2日志包中发现RCE 0day漏洞--测试记录2021年12月10日
陈海明 -全栈
12-12 1317
一、发生时间:2021年12月10日 在流行的 Java 日志库log4j中发现了一个 0day漏洞(绰号Log4Shell 或 LogJam或 log4j2rce,详见:CVE-2021-44228),该漏洞通过记录某个字符串导致远程代码执行 (RCE)。 鉴于log4j2库非常流行,漏洞会被利用完全控制你的服务器,实现挖矿等无法想象的后果。这个 log4j 漏洞非常严重,该漏洞在 CVSS 评级系统中的得分为 10 分,满分是10分,表明问题的严重性。数...
2021年中国梨产业速报.pdf
03-22
2021年中国梨产业速报
物联网地质环境信息化综合解决方案.pdf
10-14
《物联网地质环境信息化综合解决方案》概述 物联网技术在地质环境信息化领域的应用日益广泛,通过集成化的解决方案,可以高效地管理地质灾害,提升行业的信息化水平。本文将深入探讨四个关键的地质环境信息化管理...
个推案例-地震速报
07-11
【个推推送解决方案】 个推是一家提供专业推送服务的公司,其推送解决方案具有多项显著优点,包括高安全性、高可靠性、低成本、易于集成以及实时到达等特性。这些特性使得个推的服务在众多行业中都能得到广泛应用,...
深信服EDR终端检测平台-RCE漏洞复现
thelostworld
08-18 2199
​昨晚通宵,刚刚睡醒发现群里面炸锅了-EDR终端检测平台RCE 自己也来看看。 简介: EDR简介(来自官方): 终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。 EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。 端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。深信服
深信服 EDR终端检测响应平台 0day RCE 漏洞
Adminxe的博客
08-18 6911
0x01 前言 昨天睡得正香,突然公司售前就呼来电话,问某某edr出现啥问题了,然后我就给他讲了一遍,这个月太忙了,没时间写博客,今天继续来水一篇。 其次大哥来波最真挚的简介: 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统...
rce远程执行 0day漏洞 复测
weixin_45141231的博客
08-20 558
** xxx hw重大漏洞 复测 ** fofa关键词:"终端检测响应平台” 漏洞名称: xxx EDR 任意用户登录漏洞/rce远程代码执行 影响范围: EDR <= v3.2.19 漏洞细节: payload: https://ip/ui/login.php?user= 用户名随便写例如: https://123.123.123.123:5000/ui/login.php?user=admin只要用户名存在,比如管理员 复现步骤: 1.打开手机查公众号学习 2.打开fofa,钟馗之言 搜索目标
深信服 EDR终端检测响应平台RCE漏洞
汗的博客
08-18 1553
payload https://ip+端口/tool/log/c.php?strip_slashes=system&host=whoami 改改host的参数就能rce fofa语法 title="终端检测响应平台" 处理方式 只能暂时下线,貌似问题还比较多,很多要重写 资产基本是国内的,别乱打了,,, ...
HPE 发布严重的 RCE 0day 漏洞,影响服务器管理软件 SIM,无补丁
smellycat000的专栏
12-17 1678
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队惠普企业 (HPE) 在专有的 HPE Systems Insight Manager (SIM) 软件(Windows 和...
深信服EDR终端检测响应平台RCE漏洞复现
m0_37777713的博客
08-18 4359
深信服EDR终端检测响应平台RCE漏洞复现 背景介绍 早在2019年11月份的时候,就有人爆出有人手里屯着深信服某产品0day。由于是0day,当然没有人见过,也就不了了之。就在昨天,HW正式开始的第一天,有个铁憨憨在某军500人的群聊中放出了深信服EDR的复现过程截图,然后这张图就瞬间在安全圈子内传遍了。 复现过程 我们在fofa,Zoomeye等一些引擎上搜索关键字就可以找到一大堆对公网开放的EDR。以fofa为例,搜索title="终端检测响应平台" 接着,随便点开一个进行测试,找到登录界面,确
RCE漏洞是什么?
luluoluoa的博客
06-02 9360
RCE:remote command/code execute,即远程代码/命令执行漏洞 攻击者可以直接在web页面向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞
Spring RCE 0day高危漏洞预警
weixin_48421613的博客
03-30 5323
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 ​ SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。 漏洞描述: 在Spring框架的JDK9及以上版本中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。 目前已知,触发该漏洞需要满足两个基本条件: 使用J.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希潭实验室

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值