【漏洞预警】深信服SSL VPN命令注入漏洞

　　漏洞描述

　　深信服SSL VPN是国内企业内主要采用的远程接入方案之一。近日，深信服官方发布安全公告，披露其SSL VPN存在命令注入漏洞。攻击者通过构造恶意请求，利用url参数进行命令注入，从而控制服务器。深信服SSL VPN已针对该漏洞提供补丁。

　　影响版本

　　深信服SSL VPN <= 7.6.7

　　安全版本

　　深信服SSL VPN > 7.6.7

　　安全建议

　　1、升级深信服VPN至最新版本。

　　2、定期进行管理员密码修改，且满足一定的密码复杂度。建议包含大写、小写、特殊字符、数字至少三种的组合方式。

　　3、请确保当前产品面向互联网的控制台访问权限处于关闭状态，如需进行远程运维等工作，可采用SSL VPN等方式接入内网后进行。

　　4、设置当前产品的控制台登录IP地址白名单限制，只允许运维人员的IP地址登录控制台。

　　5、关闭当前产品非必要开放端口，如远程维护端口、SSH端口。

　　相关链接

　　https://www.sangfor.com.cn/service/notice.html#/details/Sangfor_2020_0010