泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。
近期,长亭科技监测到泛微官方发布了新补丁修复了一处前台文件上传漏洞。
长亭应急团队经过分析后发现该漏洞类型为文件上传,但是漏洞仅可在内网进行利用。为了方便用户排查受影响的资产,已经根据漏洞原理编写了X-POC远程检测工具和牧云本地检测工具,工具向公众开放下载使用。
未经身份认证的攻击者利用该漏洞可以在服务器上进行任意文件上传,最终达到远程代码执行的效果。
长亭应急响应实验室研究发现,本次漏洞存在一些特殊限制,仅可在内网中进行漏洞利用,漏洞利用面受到了极大限制。而且使用“集群部署”的泛微 e-cology 才受到影响,目前大多数泛微 e-cology 未使用集群模式部署。
使用泛微 e-cology 的用户可以通过部署模式或者使用检测工具进行漏洞检测来判断是否受到本次漏洞影响。
X-POC远程检测工具
检测方法:
xpoc -r 404 -t http://10.1.1.1
工具获取方式:
https://github.com/chaitin/xpoc
https://stack.chaitin.com/tool/detail?id=1036
牧云本地检测工具
检测方法:
./weaver_ecology_frontend_file_upload_vuln_scanner_windows_amd64.exe
工具获取方式:
https://stack.chaitin.com/tool/detail?id=1207
e-cology9 补丁版本 < 10.58.3
e-cology8 补丁版本 < 10.58.3
临时缓解方案
通过网络ACL策略限制访问来源,例如只允许来自特定IP地址或地址段的访问请求。
升级修复方案
官方已经推出了新的修复补丁。建议所有受影响的用户尽快访问官方网站,更新补丁至10.58.3及以上[1]。
云图:默认支持该产品的指纹识别。
洞鉴:将于7月31日发布6.12.3应急升级包。
雷池:已发布虚拟补丁,支持该漏洞利用行为的检测。
全悉:已发布规则升级包,支持该漏洞利用行为的检测。
牧云:使用管理平台 23.05.001 及以上版本的用户可通过升级平台下载应急漏洞情报库升级包(EMERVULN-23.07.028)“漏洞应急”功能支持该漏洞的检测;其它管理平台版本暂不支持该漏洞检测。
7月26日 长亭应急团队收到漏洞情报
7月27日 长亭应急响应实验室漏洞分析与复现
7月28日 长亭安全应急响应中心发布通告
参考资料:
[1].https://www.weaver.com.cn/cs/securityDownload.html?src=cn
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否收到此次漏洞影响
请联系长亭应急团队
7*24小时,守护您的安全
第一时间找到我们:
应急响应热线:4000-327-707
原文始发于微信公众号(长亭安全应急响应中心):风险提示|泛微OA e-cology 前台文件上传漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论