通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化系统,通达OA官方在03月13日发布了针对勒索病毒事件的紧急更新。根据分析该事件是通达OA中存在的两个漏洞(文件上传漏洞,文件包含漏洞)所导致。
通达OA官方在03月13日发布了针对勒索病毒事件的紧急更新。根据分析该事件是通达OA中存在的两个漏洞(文件上传漏洞,文件包含漏洞)所导致。该漏洞在绕过身份验证的情况下通过文件上传漏洞上传恶意php代码文件,组合文件包含漏洞最终造成远程代码执行漏洞,从而导致可以控制服务器system权限。影响版本
V11版(存在文件包含)
2017版(根据测试,部分2017年官方更新补丁后也存在文件包含漏洞)
2016版
2015版
2013增强版
2013版
风 险 分 析
在分析官方的的补丁时发现对V11以下的版本只更新了Update.php文件,在进行分析过程中,源文件经过Zend5.4加密,在进行分析时需进行相关解密操作。
文件上传:
auth.php为登入验证这里只要设置了P参数就不需要登入。
完成登录绕过后,即可进行任意文件上传,构造相关数据包进行发送。
文件包含漏洞位于ispirit/interface/gateway.php,具体的利用原理与文件上传处的认证恰好相反。
利 用 过 程
构造特定的上传数据包,进行文件上传即可,待上传成功后进行文件包含即可。
防御建议
使用捷普网络脆弱性智能评估系统(NVAS)对漏洞进行检测。
缓解措施
升级补丁,参考通达OA系统官网发布的补丁进行升级http://www.tongda2000.com/news/673.php
具体操作:请根据当前OA版本号,选择压缩包中所对应的程序文件,覆盖到MYOA\webroot目录下。如不确定,请联系我们售后团队协助处理。同时建议您定期做好数据备份。避免病毒攻击造成损失。