【安全通报】通达OA任意文件上传配合文件包含导致的RCE

近日,有安全研究人员对外表示(亚信安全),前几日通达OA官方在其官方论坛披露了通达OA用户服务器遭受勒索病毒攻击事件其实和某个0day漏洞有关。漏洞类型为任意文件上传,而且受影响的版本存在文件包含。远程攻击者可以通过精心构造的请求进行文件包含,触发远程代码执行。

22.jpg

北京通达信科科技有限公司是中国兵器工业信息中心的全资子公司,简称通达信科。 是一支以管理软件研发、实施、服务与咨询为主营业务的高科技企业,隶属于世界500强企业中国兵器工业集团公司。 作为国内协同管理软件行业内唯一的央企单位,通达信科将自身定位于中国协同OA软件的领跑者, 中国优秀的云应用方案提供商。 ——通达官网

概况

根据目前FOFA系统最新数据(一年内数据),显示全球范围内共有21239个通达OA服务对外开放。中国大陆使用数量最多,共有20999个,美国第二,共有75个,中国香港第三,共有68个,印度尼西亚第四,共有17个,荷兰第五,共有10个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

22.png

中国大陆地区广东省使用数量最多,共有3601个,浙江省第二,共有2936个,北京市第三,共有2150个,湖北省第四,共有1753个,江苏省第五,共有1330个。

33.png

危害等级

高危

漏洞原理

被授权的远程攻击者通过文件上传配合文件包含,触发远程恶意代码执行,以通达2017为例:

在文件`ispirit\im\upload.php`中的登录验证部分,只要设置了参数P就可以绕过。


aa.pngbb.png

而在文件上传部分,虽然过滤了php,但由于通达oa一般运行在windows中,所以可以使用`php.`绕过。

文件包含

在文件`\mac\getaway.php`中,只需没有参数P就可以绕过身份验证。


cc.png

最后通过include函数进行包含。



dd.png

不过由于通达oa默认过滤了大部分命令执行函数,所以需要借用com组件绕过限制,实现任意代码执行。

cc.png

而且在2017的版本中,\MYOA\nginx\logs文件会记录访问日志,或可直接通过文件包含达到效果。

漏洞影响

V11版

2017版

2016版

2015版

2013增强版

2013版

CVE编号

修复建议

目前官方已发表各个版本修复补丁,可进入

http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377

页面下载最新版本。

参考

[1] https://mp.weixin.qq.com/s/_bpg8buT92dzRuGdr2ZrRg

[2] http://www.tongda2000.com/company/intro/

[3] http://www.tongda2000.com/news/673.php

[4] http://club.tongda2000.com/forum.php?mod=viewthread&tid=128372

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐