漏洞公告
近日,安恒信息CERT监测到用友畅捷通官方于8月30日发布了安全更新补丁,修复了用友畅捷通T+任意文件上传漏洞,成功利用此漏洞的攻击者可执行任意代码,控制服务器。目前,此漏洞已被攻击者利用来进行勒索软件攻击。此漏洞影响范围广泛,目前官方发布安全更新补丁,建议受影响的用户尽快采取安全措施。
参考链接:
https://www.chanjet.com/news/123914.html?a=pzh&c=pzh&infrom=bdpz
一
影响范围
受影响版本:
畅捷通 T+ <= v17.0
二
漏洞描述
用友畅捷通 T+是一款互联网企业管理软件,主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。
用友畅捷通T+存在任意文件上传漏洞,该漏洞源于某接口存在未授权访问,恶意攻击者可以通过构造恶意请求上传任意文件,成功利用此漏洞的攻击者可执行任意代码,从而控制服务器。
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
否 | 未公开 | 未公开 | 存在 |
三
缓解措施
高危:目前漏洞细节和测试代码暂未公开,但恶意攻击者可以通过补丁对比分析出漏洞触发点,建议受影响用户及时更新安全补丁。
官方建议:
1、目前官方已更新补丁,建议受影响的用户下载相关补丁进行修复。
下载链接:
https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5
2、对于已中毒用户、部分中毒的用户和未中毒用户官方给出以下建议,建议受影响的用户及时测试,进行修复。
常见中毒形式为计算机内的各类文件被加上.locked后缀无法使用。
-
已中毒用户:
(1)本地服务器先断网,若各类本地数据文件未备份,建议找相关专业人员,查找是否有备份和其他恢复手段;
(2)若使用自有云服务器,可以先通过后台,将本台服务器进行镜像备份,再找相关专业人员,查找是否有备份和其他恢复手段;
(3)检查SQL数据库文件是否被加密,如果没有被加密,请尽快备份SQL数据。
-
对于部分中毒的用户:
根据官方技术人员的排查,发现有一些数据可以直接恢复,建议大家按照如下方式排查:
(1)查看产品安装目录下(ChanjetTPlusStdDBServerdata)备份文件(zip文件)有些没有locked成功,虽然有.locked文件,但是大小1k,说明没有成功。应该会同时存在原始文件,这些是可以使用的;
(2)mdf文件是否被locked,如果没有被locked,用sqlserver备份出文件来,找新环境重新系统安装产品建账,把备份文件恢复回去来恢复。不会恢复处理的,可以通过企业微信或者服务热线联系官方客服协助恢复。
-
未中毒用户:
(1)尽快使用安全月活动工具,进行检测加固;
(2)使用本地服务器的用户,建议关闭公网访问,内网使用;
(3)使用自购云主机的用户,请马上打开日常镜像备份,购买云服务器提供的安全防护服务;
(4)最最最重要的是!!!!请尽快进行数据备份,并且是多重备份,重要数据文件拷贝至U盘上传到网盘多份储存在不同的服务器环境中。
安恒信息CERT
2022年8月
原文始发于微信公众号(安恒信息CERT):用友畅捷通T+任意文件上传漏洞风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论