【安全通报】通达OA任意文件上传配合文件包含导致的RCE

近日，有安全研究人员对外表示（亚信安全），前几日通达OA官方在其官方论坛披露了通达OA用户服务器遭受勒索病毒攻击事件其实和某个0day漏洞有关。漏洞类型为任意文件上传，而且受影响的版本存在文件包含。远程攻击者可以通过精心构造的请求进行文件包含，触发远程代码执行。

北京通达信科科技有限公司是中国兵器工业信息中心的全资子公司，简称通达信科。 是一支以管理软件研发、实施、服务与咨询为主营业务的高科技企业，隶属于世界500强企业中国兵器工业集团公司。 作为国内协同管理软件行业内唯一的央企单位，通达信科将自身定位于中国协同OA软件的领跑者， 中国优秀的云应用方案提供商。 ——通达官网

概况

根据目前FOFA系统最新数据（一年内数据），显示全球范围内共有21239个通达OA服务对外开放。中国大陆使用数量最多，共有20999个，美国第二，共有75个，中国香港第三，共有68个，印度尼西亚第四，共有17个，荷兰第五，共有10个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区广东省使用数量最多，共有3601个，浙江省第二，共有2936个，北京市第三，共有2150个，湖北省第四，共有1753个，江苏省第五，共有1330个。

危害等级

高危

漏洞原理

被授权的远程攻击者通过文件上传配合文件包含，触发远程恶意代码执行，以通达2017为例：

在文件`ispirit\im\upload.php`中的登录验证部分，只要设置了参数P就可以绕过。

而在文件上传部分，虽然过滤了php，但由于通达oa一般运行在windows中，所以可以使用`php.`绕过。

文件包含

在文件`\mac\getaway.php`中，只需没有参数P就可以绕过身份验证。

最后通过include函数进行包含。

不过由于通达oa默认过滤了大部分命令执行函数，所以需要借用com组件绕过限制，实现任意代码执行。

而且在2017的版本中，\MYOA\nginx\logs文件会记录访问日志，或可直接通过文件包含达到效果。

漏洞影响

V11版

2017版

2016版

2015版

2013增强版

2013版

CVE编号

无

修复建议

目前官方已发表各个版本修复补丁，可进入

http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377

页面下载最新版本。

参考

[1] https://mp.weixin.qq.com/s/_bpg8buT92dzRuGdr2ZrRg

[2] http://www.tongda2000.com/company/intro/

[3] http://www.tongda2000.com/news/673.php

[4] http://club.tongda2000.com/forum.php?mod=viewthread&tid=128372

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。