● 点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
用友U8Cloud ServiceDispatcher反序列化漏洞 |
||
|
漏洞编号 |
QVD-2023-22491 |
||
|
公开时间 |
2023-08-31 |
影响对象数量级 |
万级 |
|
奇安信评级 |
高危 |
CVSS 3.1分数 |
9.8 |
|
威胁类型 |
命令执行 |
利用可能性 |
高 |
|
POC状态 |
已公开 |
在野利用状态 |
未发现 |
|
EXP状态 |
未公开 |
技术细节状态 |
未公开 |
|
危害描述:未授权情况下可以命令执行,致系统被攻击与控制。 |
|||
(注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。)
影响组件
用友U8Cloud是一款企业级ERP,用于协助企业实现业务协同和流程管理的高效化和数字化。
漏洞描述
近日,奇安信CERT监测到用友U8Cloud ServiceDispatcher反序列化漏洞(QVD-2023-22491):未经身份验证的远程攻击者通过ServiceDispatcher接口发送恶意数据包,利用反序列化数据包,成功利用该漏洞可以命令执行,导致系统被攻击与控制。
鉴于此漏洞利用难度低,建议受影响用户尽快安装补丁,部署WAF、RASP等工具,同时避免用友U8Cloud系统暴露在公网。
影响版本
U8Cloud所有版本
其他受影响组件
无
奇安信椒图安全研究员已成功复现用友U8Cloud ServiceDispatcher反序列化漏洞,截图如下:
安全更新
官方已发布升级补丁包,可在官方公告中进行下载安装https://security.yonyou.com/#/patchInfo?foreignKey=7bd5b43e2c984a618b2b1d3f288110ae
建议客户部署WAF、RASP等工具,同时应避免用友U8Cloud系统暴露在公网。
产品解决方案
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对用友U8Cloud ServiceDispatcher反序列化漏洞(QVD-2023-22491)的防护。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7948,建议用户尽快升级检测规则库至2309202030以上。
奇安信天眼检测方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0921.14062及以上版本。规则名称:用友U8Cloud ServiceDispatcher反序列化漏洞(QVD-2023-22491),规则ID:0x1002186C。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
[1]https://security.yonyou.com/#/patchInfo?foreignKey=7bd5b43e2c984a618b2b1d3f288110ae
2023年9月20日,奇安信 CERT发布安全风险通告。
奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:
点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。
原文始发于微信公众号(奇安信 CERT):【已复现】用友U8Cloud ServiceDispatcher反序列化漏洞安全风险通告
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论