建议深信服edr设备暂时下线，rce你是补不完的。等待官方进一步修复 – 作者:alexo0

本文原载于公众号：宽字节安全

作者：potatso

**第一天，群里爆出深信服edr控制端poc。poc在这里就不放了。下面我们分析一下

RCE

echo "<p><b>Log Helper</b></p>";     $show_form($_REQUEST);

跟入show_form

/**      * 显示表单      * @param array $params 请求参数      * @return      */     $show_form = function($params) use(&$strip_slashes, &$show_input) {         extract($params);         $host  = isset($host)  ? $strip_slashes($host)  : "127.0.0.1";

唉，一看就是经典的php变量覆盖漏洞。下面我们拓展一下，使用grep搜索一下

tools目录下全部都是变量覆盖漏洞。。。看样子单纯只防御网上那个poc是没有用的

不信你看

一句话后门都不敢这么写。。。。

所以，在这里我建议，最好下线深信服edr的控制中心，漏洞太多，你是防不住的。。

官方后门？？？

自己看图吧，懒得解释

任意文件下载漏洞

顺手找到的。。。。大佬们别在意，我说下线是有原因的。我一个菜逼两分钟挖洞。这代码写的太愚蠢了

没有过滤。。。。。

验证码绕过

额，没啥说的。。。。好兄弟们，深信服的代码写的真的太愚蠢了。

整改建议

目前来看，只能暂时下线，没有太好的办法。。。漏洞太多，且个个都是rce。

从源码来看，深信服的开发完全没有经过任何安全开发的培训，导致写出一堆自带严重BUG的代码。。。。

本文来源：https://www.cnblogs.com/potatsoSec/p/13520546.html

来源：freebuf.com 2020-08-18 10:18:39 by: alexo0