安全通报

天融信防火墙关于“方程式组织”漏洞处置公告

时间:2016-08-20 来源:天融信

一、事件背景

近日自称 “The Shadow Brokers”(影子经纪人)的黑客组织入侵了 “EquationGroup”(方程式组织,外界透露该组织隶属于美国国家安全局NSA),获取到其内部数据,并将部分网络攻击工具与文件公布至互联网,甚至重金拍卖。从公开的部分数据分析,具有针对主流厂商防火墙产品的攻击工具与方法。

二、当前进展

天融信公司从 “The Shadow Brokers”(影子经纪人)发布该信息后第一时间对该事件进行跟踪和技术分析,天融信阿尔法实验室、安全云服务团队、产品团队对相关信息进行了深入验证,确认部分防火墙产品的版本存在被攻击的风险,影响版本范围如下:
3.3.005.097(不含)之前版本
3.3.010.095(不含)之前版本
3.3.017.056(不含)之前版本
3.3.020.053(不含)之前版本

原因分析:

在对防火墙进行管理过程中,通过精心构造的特定数据参数绕过系统安全认证,从而获取执行权限并可执行特定代码。

影响范围:

天融信安全云服务团队对所有可能涉及到的相关产品版本进行了跟踪,统计到在互联网运行防火墙10000余台,其中已确认受影响2546台,分布如下:

解决进展:

天融信全国各分支机构已开始对用户存在漏洞的防火墙进行及时处置。

三、解决方案

1.快速方案

由于利用漏洞需要在防火墙管理权限开放的条件下进行,而防火墙通常无需向互联网开放该管理权限,因此可将防火墙相应接口的WebUI、GUI等管理权限关闭以快速处置问题。

2.完整方案

请登陆天融信公司FTP服务器ftp://ftp.topsec.com.cn获取版本进行升级,根据《保障处置方案》操作。

3.专网用户

专网用户由于不接入互联网,故当前暂无影响,但建议用户及时进行版本升级,提高安全性。

四、技术支持

天融信公司后续将积极为用户提供技术支持,持续跟踪并及时通报进展。
获取支持联系方式如下:

1.直接拨打400-610-5119电话联系用户当地技术支持团队获得支持。

2.座机拨打800-810-5119电话获取总部技术支持。

3.关注天融信微信公众号 “天融信科技”,实时获取进展信息及其他安全服务支持,可扫描如下二维码关注。

北京天融信科技股份有限公司
2016年8月20日