漏洞公告
近日,安恒信息CERT监测到用友NC存在反序列化远程代码执行漏洞,目前技术细节及PoC未公开。攻击者可在未登录系统状态下,通过发送特定请求包触发反序列化,最终实现远程代码执行。安恒信息CERT已复现此漏洞。
该产品主要使用客户行业分布为政府、企业等,在国内有较大的占有率。该漏洞无需任何前置条件,漏洞危害性极高,建议客户尽快做好自查及防护。
漏洞信息
用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。
该产品主要使用客户行业分布为政府、企业等,在国内有较大的占有率。该漏洞无需任何前置条件,漏洞危害性极高,建议客户尽快做好自查及防护。
|
漏洞标题 |
用友NC存在反序列化远程代码执行漏洞 |
||
|
应急响应等级 |
1级 |
||
|
漏洞类型 |
反序列化 |
||
|
影响目标 |
影响厂商 |
yonyou |
|
|
影响产品 |
NC |
||
|
影响版本 |
(-∞,6.5] |
||
|
安全版本 |
6.5_000_0004_20220518_GP_858952460 |
||
|
漏洞编号 |
CVE编号 |
未分配 |
|
|
CNVD编号 |
未分配 |
||
|
CNNVD编号 |
未分配 |
||
|
安恒CERT编号 |
WM-202305-000002 |
||
|
漏洞标签 |
WEB应用、办公系统 |
||
|
CVSS3.1评分 |
9.8 |
危害等级 |
严重 |
|
CVSS向量 |
访问途径(AV) |
网络 |
|
|
攻击复杂度(AC) |
低 |
||
|
所需权限(PR) |
无需任何权限 |
||
|
用户交互(UI) |
不需要用户交互 |
||
|
影响范围(S) |
不变 |
||
|
机密性影响(C) |
高 |
||
|
完整性影响(I) |
高 |
||
|
可用性影响(A) |
高 |
||
|
威胁状态 |
Poc情况 |
已发现 |
|
|
Exp情况 |
已发现 |
||
|
在野利用 |
未发现 |
||
|
研究情况 |
已复现 |
||
|
舆情热度 |
公众号 |
低 |
|
|
Twitter |
低 |
||
|
微博 |
低 |
||
安恒信息 CERT 已验证该漏洞的的可利用性:
判断受影响情况:
若使用用友NC6.5且不存在如下补丁编码则受到影响
NCM_NC6.5_000_109902_20220412_GP__PGM_750886641
NCM_NC6.5_000_0004_20220518_GP_858952460
官方修复方案:
官方已发布修复方案,受影响的用户建议联系用友官方获取安全补丁
https://security.yonyou.com/#/noticeInfo?id=293
临时修复方案:
非必要不建议将该系统暴露在公网。
网络空间资产测绘
安恒CERT的安全分析人员利用Sumap全球网络空间超级雷达,通过资产测绘的方法,对该漏洞进行监测,近3个月数据显示,用友NC全球IP测绘数据 1,776 条,域名测绘数据24条,国内资产受影响较多。
根据实际调研使用量,内网及互联网网络均有部署。建议客户尽快做好资产排查。
产品防护方案
AiLPHA大数据平台&AXDR平台
AiLPHA大数据平台&AXDR平台的流量探针(AiNTA)在第一时间加入了用友NC反序列化远程代码执行漏洞的检测规则,请将规则包升级到1.1.1080版本(AiNTA-v1.2.5_release_ruletag_1.1.1080)及以上版本。
规则名称:用友NC反序列化远程代码执行漏洞
规则编号:93011250、93011251
AiNTA流探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。请从AiLPHA安全中心下载规则包。
AiLPHA安全中心地址:
https://ailpha.dbappsecurity.com.cn/index.html#/login
如果没有账号,请从页面注册账号。
APT攻击预警平台
APT攻击预警平台已经在第一时间加入了对用友NC反序列化远程代码执行漏洞的检测能力,请将规则包升级到GoldenEyeIPv6_0EDB7_strategy2.0.26854.230518.1及以上版本。
规则名称:用友NC反序列化远程代码执行漏洞
规则编号:93011250、93011251
APT攻击预警平台规则升级方法:系统->升级管理,选择“手动升级”或“在线升级”。
APT攻击预警平台的规则升级包请到安恒社区下载:https://bbs.dbappsecurity.com.cn/download/60d406cd22d42322bcde0225/5ddc97a68c885b76dd8d8667?type1=5e01818f8a17d82f9f66fb26
WAF
WAF已经支持用友NC反序列化远程代码执行漏洞的检测
玄武盾
玄武盾已经支持用友NC反序列化远程代码执行漏洞的检测
扫描器
(1)明鉴漏洞扫描系统/明鉴远程安全评估系统
已具备最新的用友NC反序列化远程代码执行漏洞的检测能力,将策略库升级至V1.3.971.1031版本。
升级方法:系统管理-系统服务-系统升级-立即升级 可通过网络在线升级至最新版本,或通过离线下载升级包后至系统管理-系统服务-系统升级-选择离线包上传升级包,升级成功后策略库为最新版本。
策略库离线下载地址:http://upgrade.websaas.com.cn/offline-package
(2)云鉴版漏洞扫描系统已具备最新的用友NC反序列化远程代码执行漏洞的检测能力,将策略库升级至V1.3.971.1031版本,具体的升级方式为离线上传更新。
(3)WebScan7已具备最新的用友NC反序列化远程代码执行漏洞的检测能力,将策略库升级至V1.0.1.85版本,具体的升级方式为一键在线升级。策略库离线下载地址:http://upgrade.websaas.com.cn/offline-package?type=web
参考资料
1. https://security.yonyou.com/#/noticeInfo?id=293
2. https://security.yonyou.com/#/patchInfo?foreignKey=190de8aad9864a149a86cfea763c8b78
安恒信息CERT
2023年5月
原文始发于微信公众号(安恒信息CERT):用友NC存在反序列化远程代码执行漏洞风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论