近日,有称自“Shadow Brokers”的黑客组织攻击了“Equation Group”,获取到其内部数据,并将部分网络攻击工具与文件公布至互联网,甚至重金拍卖。在此次攻击事件中,攻击者利用了多个安全厂商的漏洞,包括Cisco(思科),Juniper(瞻博),TOPSEC(天融信)以及Fortinet(飞塔)。
漏洞修复
相关厂商对该事件进行跟踪和技术分析,确认部分防火墙产品存在被攻击的风险,并公布了修复方案。
思科(Cisco)
(一)、漏洞处置及解决方案
针对此事件,思科发布了修复补丁和安全公告,并在安全公告中宣布思科产品漏洞已经被修复了。思科公司表示,只要用户运行的是最新版本的思科软件,那么他们就不会受到影响。
(二)、思科安全公告及漏洞处置链接
1.思科安全公告-CVE-2016-6366:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
2.思科安全公告-CVE-2016-6367:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli
3.思科ASA产品完整性保障综述:
http://www.cisco.com/c/en/us/about/security-center/intelligence/asa-integrity-assurance.html
4.思科ASA防火墙SNMP配置教程:
http://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/general/asa-96-general-config/monitor-snmp.html
5.思科公司针对“The Shadow Brokers”事件的响应报告:
http://tools.cisco.com/security/center/viewErp.x?alertId=ERP-56516
Juniper(瞻博)
目前没有发现安全公告或通知。
天融信(TOPSEC)
(一)、漏洞处置及解决方案
1.快速方案
由于利用漏洞需要在防火墙管理权限开放的条件下进行,而防火墙通常无需向互联网开放该管理权限,因此可将防火墙相应接口的WebUI、GUI等管理权限关闭以快速处置问题。
2.完整方案
请登陆天融信公司FTP服务器ftp://ftp.topsec.com.cn获取版本进行升级,根据《保障处置方案》操作。
3.专网用户
专网用户由于不接入互联网,故当前暂无影响,但建议用户及时进行版本升级,提高安全性。
(二)、天融信安全公告及漏洞处置链接
http://www.topsec.com.cn/aqtb/aqtb1/jjtg/160820.htm
Fortine(飞塔)
(一)、漏洞处置及解决方案
1、升级到任何FortiOS 5.x版本;
2、如产品无法升级到FortiOS 5.x版本,可以升级到4.3.9或更高级版本。
(二)、Fortine安全公告及漏洞处置链接
http://www.fortinet.com.cn/News/media/1486.html
https://fortiguard.com/advisory/cookie-parser-buffer-overflow-vulnerability