通达OA高危漏洞可能感染勒索病毒的风险通告
发布时间 2020-03-18漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定
影响版本
V11版
2017版
2016版
2015版
2013增强版
2013版
漏洞概述
通达OA是一套办公系统。近日通达OA在官方论坛发布了紧急通知,提供了针对部分用户反馈遭到勒索病毒攻击的安全加固程序,补丁更新包括2013版、2013增强版、2015版、2016版、2017版、V11版本等,相关链接参考:http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377&extra=page%3D1。
根据公告,遭受攻击的OA服务器首页被恶意篡改,伪装成OA系统错误提示页面让用户下载安装插件,同时服务器上文件被勒索病毒重命名加密,相关链接:http://club.tongda2000.com/forum.php?mod=viewthread&tid=128372&extra=page%3D1。
论坛中有多个用户反馈中招(具体现象为:主页被篡改、站点文件扩展名被修改、并生成一个勒索提示文本文件),论坛地址:http://club.tongda2000.com/forum.php?mod=viewthread&tid=128367&extra=page%3D1。
据分析,结合论坛用户的反馈,发现勒索病毒可能通过文件上传漏洞植入,通过文件上传漏洞结合文件包含接口,恶意攻击者可以成功上传Webshell后门,并进一步释放勒索病毒,进程默认由System权限启动,危害较大,建议尽快测试更新补丁,并备份好数据,如网络条件允许,OA系统不要直接暴露在互联网上,可以考虑通过VPN方式内网访问。
据统计,通达OA在中国暴露在网上的数量和分布如下图:
漏洞验证
暂无PoC/EXP。
修复建议
目前厂商已提供相关漏洞补丁链接,请及时更新漏洞补丁:http://www.tongda2000.com/news/673.php。
参考链接
http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377&extra=page%3D1