VULHUB ™

Mandiant First Response是一款事件响应工具，用于收集所运行进程、系统服务之类的系统信息。 Mandiant First Response中存在多个安全漏洞，具体如下： #1 畸形客户端请求导致SSL代理拒绝服务 如果以守护程序模式运行的话，First Response代理（FRAgent.exe）会通过HTTP或修改过的HTTPS实现接受First Response控制台的远程连接。如果攻击者向启用了SSL的代理发送了一系列特制请求的话，就会强制代理出现异常，之后代理的套接字会陷入无限的CLOSE_WAIT状态，所有之后的连接尝试也都会被拒绝，必须重启服务才能恢复连接。 #2 通过代理劫持导致HTTP或SSL代理拒绝服务 FRAgent守护程序允许其他进程绑定到正在监听的同一套接字地址。如果FRAgent被绑定到了0.0.0.0通配符地址（所有接口）的话，恶意进程就可以通过绑定到特定IP地址的同一端口上拦截客户端连接。通过使用不响应的监听程序劫持代理，攻击者就可以阻止所有合法的客户端连接。 #3 通过HTTP代理劫持控制命令控制台和数据 如果HTTP FRAgent守护程序被劫持的话，攻击者就可以控制客户端所发送和处理的响应数据，以及其他一些客户端行为。恶意的进程可以执行中间人攻击，重新定向和修改客户端与合法代理之间的所有请求和响应。攻击者还可以发送特制的HTTP响应，强制客户端访问任意URL和/或下载任意内容。 Mandiant First Response 1.1 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://www.mandiant.com/firstresponse.htm" target="_blank">http://www.mandiant.com/firstresponse.htm</a>

Mandiant First Response是一款事件响应工具，用于收集所运行进程、系统服务之类的系统信息。 Mandiant First Response中存在多个安全漏洞，具体如下： #1 畸形客户端请求导致SSL代理拒绝服务 如果以守护程序模式运行的话，First Response代理（FRAgent.exe）会通过HTTP或修改过的HTTPS实现接受First Response控制台的远程连接。如果攻击者向启用了SSL的代理发送了一系列特制请求的话，就会强制代理出现异常，之后代理的套接字会陷入无限的CLOSE_WAIT状态，所有之后的连接尝试也都会被拒绝，必须重启服务才能恢复连接。 #2 通过代理劫持导致HTTP或SSL代理拒绝服务 FRAgent守护程序允许其他进程绑定到正在监听的同一套接字地址。如果FRAgent被绑定到了0.0.0.0通配符地址（所有接口）的话，恶意进程就可以通过绑定到特定IP地址的同一端口上拦截客户端连接。通过使用不响应的监听程序劫持代理，攻击者就可以阻止所有合法的客户端连接。 #3 通过HTTP代理劫持控制命令控制台和数据 如果HTTP FRAgent守护程序被劫持的话，攻击者就可以控制客户端所发送和处理的响应数据，以及其他一些客户端行为。恶意的进程可以执行中间人攻击，重新定向和修改客户端与合法代理之间的所有请求和响应。攻击者还可以发送特制的HTTP响应，强制客户端访问任意URL和/或下载任意内容。 Mandiant First Response 1.1 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://www.mandiant.com/firstresponse.htm" target="_blank">http://www.mandiant.com/firstresponse.htm</a>