【漏洞预警】泛微E-cology OA远程命令执行漏洞
2019年9月,白帽汇安全研究院观测到泛微官网更新了最新漏洞补丁,涉及一个高危漏洞——远程命令执行。该漏洞利用难度低,危害大,预计会对全球泛微e-cology OA造成较大影响。该漏洞是由于OA系统存在的java Beanshell接口缺乏权限控制措施,任意攻击者都可通过特意构造的请求直接调用接口远程执行命令,从而彻底控制服务器。该漏洞影响的软件版本较多,各泛微OA的网站管理人员请及时打上补丁。
泛微成立于2001年,在中国拥有巨大软件市场,覆盖86各行业,30000多企业,包括太平洋保险、中国中化在内的世界五百强,茅台、伊利在内中国知名企业都使用了泛微的办公软件。此次曝出漏洞的E-cology属于泛微旗下的大中型企业OA,被各大中小企业广泛使用,其中2018年9月27日发布的9.0版本也受该漏洞所影响。
概况
目前FOFA系统最新数据(一年内数据)显示全球范围内共有19376个泛微服务。中国使用数量最多,共有19035个,中国香港第二,共有111个,美国第三,共有95个,新加坡第四,共有31个,印度第五,共有18个。
全球范围内泛微e-cology OA分布情况如下(仅为分布情况,非漏洞影响情况)
中国大陆地区北京市使用数量最多,共有4376个,广东省第二,共有2011个,上海市第三,共有1366个,浙江省第四,共有1355个,江苏省第五,共有1162个。
危害等级
严重
漏洞原理
泛微通过resin
来处理servlet
,而在resin
下lib文件夹的bsh.jar
文件中有一个存在缺陷的类bsh.servlet.BshServlet
。其中doGet
函数会从getParameter中接受参数并交给evalsc ript
函数处理,而evalsc ript
函数又会调用localInterpreter.eval(paramString)
,这个eval
方法可以执行代码,最终导致远程命令执行。
漏洞影响
目前漏洞影响版本号包括:
泛微E-cology =< 9.0
漏洞POC
目前FOFA客户端平台已经更新该远程命令执行漏洞的检测POC。
POC截图
CVE编号
暂无编号
修复建议
1、官网已发布安全更新,用户可以通过网址https://www.weaver.com.cn/cs/securityDownload.asp
获得。
2、如暂时无法更新到最新版本,请使用防火墙等第三方设备对敏感路径BshServlet/
进行拦截。
参考
[1] https://www.weaver.com.cn/
[2] http://blog.nsfocus.net/weaver-e-cology/
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
最新评论