【安全通报】通达OA任意文件上传配合文件包含导致的RCE
近日,有安全研究人员对外表示(亚信安全),前几日通达OA官方在其官方论坛披露了通达OA用户服务器遭受勒索病毒攻击事件其实和某个0day漏洞有关。漏洞类型为任意文件上传,而且受影响的版本存在文件包含。远程攻击者可以通过精心构造的请求进行文件包含,触发远程代码执行。
北京通达信科科技有限公司是中国兵器工业信息中心的全资子公司,简称通达信科。 是一支以管理软件研发、实施、服务与咨询为主营业务的高科技企业,隶属于世界500强企业中国兵器工业集团公司。 作为国内协同管理软件行业内唯一的央企单位,通达信科将自身定位于中国协同OA软件的领跑者, 中国优秀的云应用方案提供商。 ——通达官网
概况
根据目前FOFA系统最新数据(一年内数据),显示全球范围内共有21239个通达OA服务对外开放。中国大陆使用数量最多,共有20999个,美国第二,共有75个,中国香港第三,共有68个,印度尼西亚第四,共有17个,荷兰第五,共有10个。
全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)
中国大陆地区广东省使用数量最多,共有3601个,浙江省第二,共有2936个,北京市第三,共有2150个,湖北省第四,共有1753个,江苏省第五,共有1330个。
危害等级
高危
漏洞原理
被授权的远程攻击者通过文件上传配合文件包含,触发远程恶意代码执行,以通达2017为例:
在文件`ispirit\im\upload.php`中的登录验证部分,只要设置了参数P就可以绕过。
而在文件上传部分,虽然过滤了php,但由于通达oa一般运行在windows中,所以可以使用`php.`绕过。
文件包含
在文件`\mac\getaway.php`中,只需没有参数P就可以绕过身份验证。
最后通过include函数进行包含。
不过由于通达oa默认过滤了大部分命令执行函数,所以需要借用com组件绕过限制,实现任意代码执行。
而且在2017的版本中,\MYOA\nginx\logs文件会记录访问日志,或可直接通过文件包含达到效果。
漏洞影响
V11版
2017版
2016版
2015版
2013增强版
2013版
CVE编号
无
修复建议
目前官方已发表各个版本修复补丁,可进入
http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377
页面下载最新版本。
参考
[1] https://mp.weixin.qq.com/s/_bpg8buT92dzRuGdr2ZrRg
[2] http://www.tongda2000.com/company/intro/
[3] http://www.tongda2000.com/news/673.php
[4] http://club.tongda2000.com/forum.php?mod=viewthread&tid=128372
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
最新评论