关于迪普SSLVPN存在任意文件读取漏洞的安全告知

时间:2024-10-17 17:19:13来源:信息安全部作者:梦之想科技

DPtech是在网络、安全及应用交付领域集研发、生产、销售于一体的高科技企业。DPtech VPN智能安全网关是迪普科技面向广域互联应用场景推出的专业安全网关产品,集成了IPSec、SSL、L2TP、GRE等多种VPN技术,支持国密算法,实现分支机构、移动办公人员的统一安全接入,提供内部业务跨互联网的安全访问。

漏洞详情
迪普SSL VPN 存在任意文件读取漏洞,未经身份验证攻击者可通过 %00 绕过补丁安全校验机制,读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。

影响范围
DPTech VPN

漏洞复现
image006.png

修复建议
1. 关闭互联网暴露面或接口设置访问权限。
2. 防火墙限制攻击请求特征,例如:"../","../../","..%2F"."..%2F%2F"等,防止被非法利用。

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。
昆仑漏洞扫描平台专业漏洞检测工具,已更新漏洞检测规则,已支持该漏洞的在线检测。
实战化攻防技能演训平台:模拟真实攻防仿真场景,提升蓝军、红军实战应对能力训练平台。
云瞳云WAF:为中小企业提供一键化接入和专业级防护,有效应对 Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等 Web业务安全防护问题。

参考链接
https://cxsecurity.com/cveshow/CVE-2022-34593/