近期,攻击者利用通达OA的文件上传和文件包含漏洞,诱导用户下载运行勒索病毒。影响包括V11及2017至2013多个版本。此勒索病毒使用RSA+AES加密,暂时无解密工具。深信服提供解决方案,建议用户更新安全补丁并采取防御措施。
近日,通达OA官方论坛发布了一则安全更新,披露了近期出现攻击者利用通达OA文件上传和文件包含漏洞释放勒索病毒的攻击事件,攻击者通过漏洞上传webshell伪装OA插件的下载提示页面,诱导用户点击下载运行勒索病毒,官方紧急发布了各版本的安全加固补丁。
漏洞名称:通达OA文件上传和文件包含漏洞可致远程代码执行
威胁等级:高危
影响范围:
通达OA V11版
通达OA 2017版
通达OA 2016版
通达OA 2015版
通达OA 2013增强版
通达OA 2013版
漏洞类型:远程代码执行
利用难度:简单
事件分析
1 通达OA组件介绍
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。
通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。该系统采用领先的B/S(浏览器/服务器)操作方式,使得网络办公不受地域限。通达Office Anywhere采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。
2 漏洞复现
近日,通达OA官方论坛发布了一则安全更新,由于近期部分通达OA的用户遭受到勒索病毒攻击,官方紧急发布了各版本的安全加固补丁。
从官方发布的补丁分析,通达OA V11以下版本仅存在未授权任意文件上传漏洞;通达OA V11版本则存在未授权任意文件上传以及任意文件包含两个漏洞,攻击者可在通达OA V11版本利用两个漏洞构造组合利用链,最终在目标服务器上执行任意代码。
搭建通达OA V11版本漏洞环境,通过构造文件上传绕过,实现PHP文件成功上传到目标服务器。效果如下图:
通过文件包含漏洞,构造攻击数据,成功访问到目标服务器的nginx服务器日志。效果如下图:
通过组合利用两个漏洞,最终实现代码执行操作:
3 事件描述
据深信服安全团队分析,此次利用漏洞进行攻击的是一款GO语言编写的勒索病毒,使用RSA+AES算法加密,暂时没有公开的解密工具。勒索病毒进行加密后会在每个目录下释放勒索信息文件readme_readme_readme.txt,向用户勒索0.3比特币,具体内容如下:
并且加密后会并没有修改特定的后缀,而是在原有的文件后缀的最后加上一个“1”:
4 恶意文件详细分析
该勒索病毒使用GO语言编写,没有加壳或去符号化,功能较为简单,从main中可以看到大致的执行流程:
进行加密的文件类型包括:
".doc,.docx,.xls,.xlsx,.ppt,.pptx,.pst,.ost,.msg,.eml,.vsd,.vsdx,.txt,.log,.csv,.rtf,.123,.wks,.wk1,.pdf,.dwg,.onetoc2,.snt,.jpeg,.jpg,.docb,.docm,.dot,.dotm,.dotx,.xlsm,.xlsb,.xlw,.xlt,.xlm,.xlc,.xltx,.xltm,.pptm,.pot,.pps,.ppsm,.ppsx,.ppam,.potx,.potm,.edb,.hwp,.602,.sxi,.sti,.sldx,.sldm,.vdi,.vmdk,.vmx,.gpg,.aes,.ARC,.PAQ,.bz2,.tbk,.bak,.tar,.tgz,.gz,.7z,.rar,.zip,.backup,.iso,.vcd,.bmp,.png,.gif,.raw,.cgm,.tif,.tiff,.nef,.psd,.ai,.svg,.djvu,.m4u,.m3u,.mid,.wma,.flv,.3g2,.mkv,.3gp,.mp4,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.mp3,.sh,.class,.jar,.java,.rb,.asp,.php,.jsp,.brd,.sch,.dch,.dip,.pl,.py,.vb,.vbs,.ps1,.bat,.cmd,.js,.asm,.h,.pas,.cpp,.c,.cs,.suo,.sln,.ldf,.mdf,.ibd,.myi,.myd,.frm,.odb,.dbf,.db,.mdb,.accdb,.sql,.sqlitedb,.sqlite3,.asc,.lay6,.lay,.mml,.sxm,.otg,.odg,.uop,.std,.sxd,.otp,.odp,.wb2,.slk,.dif,.stc,.sxc,.ots,.ods,.3dm,.max,.3ds,.uot,.stw,.sxw,.ott,.odt,.pem,.p12,.csr,.crt,.key,.pfx,.der"
执行cmd命令停止mysql,解除文件占用:
使用base64解码RSA加密随机生成的AES算法的公钥,并用公钥加密AES秘钥:
将加密后的秘钥拼接到勒索信息中,随后遍历目录释放勒索信息文件:
使用AES算法加密文件:
影响范围
目前受影响的通达OA版本:
1.任意文件上传漏洞影响:
通达OA V11
通达OA 2017
通达OA 2016
通达OA 2015
通达OA 2013增强版
通达OA 2013
2.任意文件包含漏洞影响:
通达OA V11
解决方案
1 修复建议
还未出现勒索现象的通达OA用户尽可能的将服务器断开互联网,并立即备份数据,且做好异地备份,如出现上文提到的下载OA插件提示页面请一定不要点击下载,并尽快通过下列官方链接下载通达OA官方公布的补丁程序进行防护:
http://tongda2000.com/news/673.php?spm=a2c4g.11174386.n2.3.3d3d1051dif5d9
2 深信服解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
【深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。
【深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
注册地址:http://saas.sangfor.com.cn
【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。
【安全云脑】使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。
【深信服终端安全检测响应平台EDR】深信服终端检测响应平台(EDR)用户,无须担心,此次通达OA漏洞释放的勒索病毒,EDR无须升级病毒规则库,就能自动进行识别和拦截,保障您的业务安全。只要开启EDR勒索防护功能,将持续精准拦截勒索病毒。
时间轴
2020/3/17
深信服千里目实验室监测到互联网流传通达OA发布紧急安全补丁信息
2020/1/18
深信服千里目实验室获取样本,分析补丁内容,并复现此漏洞,并发布解决方案。
文章推荐:
1.Weblogic远程代码执行漏洞(CVE-2020-2546、CVE-2020-2551)
2.微软SMBv3 Client/Server远程代码执行漏洞安全风险通告(CVE-2020-0796)
点击阅读原文,关注并登录深信服智安全Wiki平台,及时查询漏洞的产品解决方案,我们持续更新~
1437
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
