瑞友天翼弱口令导致企业存在RDP风险

首先当然是找共性，把目标放在了这些OA的底层开发框架上，无果，不是同一种语言，也不共用同一套框架；后又把目标放在了安装这些OA的系统上，既然提到了获取3389权限，有没有可能是操作系统漏洞呢？但还是无果，有win7、winserver2003、2008等，也没发现最近有什么漏洞可能导致直接打进3389的；目标来到他们的供应商，无果，他们并不共用同一家供应商，有的是自己研发，有的是合并其他公司，并无共通之处。

经调查，发现这个软件归属于“西安瑞友信息技术资讯有限公司”，是一家虚拟化和云计算解决方案提供商，产品名称是“瑞友天翼”，进一步调查发现这个软件和多个OA系统捆绑销售，其中就包括了黑客提到的金蝶、用友等多个产品以及医疗、金融、物流等多个行业。

软件的用途大致就是将内网的机器的3389端口映射到公网，方便不在公司的员工进行远程办公。其中医疗行业的解决方案如下，其余的类似，远程办公的员工只需要访问瑞友天翼在公网上的IP和端口，输入账号密码，即可直接进入公司内网的机器上办公。

这看似是一个非常实用、便捷的功能，但是危害却可以非常非常大，因为作者发现瑞友天翼的客户端存在弱口令的情况。这与前言中提到的黑客可以接管3389远程桌面这一情况相符，黑客有可能是从这里进来的！并不是什么高大上的0day，而是最最普通的弱口令；并不是什么OA系统的漏洞，而是其用于管理的中间件出现了问题。这是黑客的障眼法，一直把作者往OA漏洞那边引，没想到其实和OA并无太大关系，即使将OA更到最新版本，不更新瑞友天翼客户端也是无济于事的。

确认黑客攻击的目标可能是瑞友天翼软件后，对这款软件进行了初步分析，整理了一条可以筛选的规则，在fofa、zoomeye上筛选了同类的在公网上暴露的瑞友天翼web网站。发现在国内的瑞友天翼网站包括历史数据接近12万条，近一年居然有3万条，虽然有很多换了ip导致不可访问，也不全是存在弱口令的系统，但是存在风险的系统是非常多的。

随意访问几个，可以看到瑞友天翼5、6、7三个版本的页面，5和6类似，7是新版。

7以下版本的页面，点击“关于”可以看到这个系统属于哪家公司。

了解完这是哪家公司后，看到登录框当然是顺手尝试弱口令，由于是手工测，仅尝试admin/admin以及admin/123456。下图就是密码正确后的页面。

作者测试了大约100个页面，存在admin/admin和admin/123456弱口令漏洞的就有18个之多，其他的弱口令密码并未尝试，占比达到了18%。

点击OA系统的图标，发现使用了RAP协议javascript:openapp('RAP://xxxxxx')，并非http或https协议，意味着不可以通过web进一步访问，推测需要下载瑞友天翼的客户端，恰好页面上就有下载客户端的连接。下载成功并打开后是如下界面，一个小窗口。

推测填写好刚刚测试到的ip和端口，和用户名密码就可以登录，并且进入到使用该IP的公司内网机器上。

有在使用瑞友天翼的企业或部门应当及时响应，防范，从修改弱密码做起，更新到最新版本，也可以先将设备卸下，使用更为安全的VPN进行远程回连办公。

弱口令已经是个屡见不鲜的漏洞话题，但是依旧因为方便而被广泛使用，尤其是一些内网系统，认为攻击者无法进入内网，就可以随意设置密码，殊不知攻击者可以从别处进来，横向渗透，这时，弱口令的危害将变得非常严重。弱口令安全防范的建议这里就不过多赘述，网上有特别多的文章已经讲得很透彻了，在这里就分享一篇可以自行查阅。

https://www.nington.com/blog-mfa/downloaddetail_113.shtml

最后宣传一下，本公众号预计于10月份开始，将定期更新攻击者溯源专题，将从多个可以溯源攻击者的主题角度进行拆解分析，如通过IP溯源，通过元数据溯源（流量、样本、日志等），通过攻击手法溯源等。敬请期待！