漏洞背景
近日,HSCERT监测发现通达OA在官方论坛发布了紧急通告,提供了针对部分用户反馈遭到勒索病毒攻击的补丁更新,遭受攻击的OA服务器首页被恶意篡改,伪装成OA系统错误提示页面让用户下载安装插件,同时服务器上文件被勒索病毒重命名并加密。
遭受勒索的具体现象是:主页被篡改、站点文件扩展名被修改、生成一个勒索提示文本文件。
漏洞分析
从官网下载的补丁发现程序对/ispirit/im/upload.php文件进行了修改,着重分析该文件未修复前的代码:
在$_POST['P']不为空的情况下,包含inc/session.php进行用户的session操作,否则就包含/auth.php进行用户鉴权。
当请求中存在文件上传时调用upload函数进行处理,在该函数中:
通过is_uploadable函数:
判断$_FILES['ATTACHMENT']['name']是否是允许上传的文件类型,禁止上传php文件且上传后的文件在/attach/目录不能直接访问。
所以还需要找到一个文件包含漏洞来实现最终的getshell。
文件/ispirit/interface/gateway.php中有个文件包含:
而这个$url来源于$json数组:
并且当$_GET['P']为空的情况下就不进行权限校验:
综上,通过/ispirit/im/upload.php上传包含php代码的.jpg文件,通过/ispirit/interface/gateway.php来包含该文件可实现最终的getshell,也可以通过/ispirit/interface/gateway.php的包含漏洞直接包含日志文件来实现getshell。
文件上传漏洞复现:
文件包含后执行结果:
漏洞危害
高危
影响版本
V11版(文件包含漏洞只存在于此版本)
2017版
2016版
2015版
2013增强版
2013版
安全建议
根据已知的恶意攻击风险,建议尽快测试更新补丁:
V11版:
http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe
2017版:
http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe
2016版:
http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe
2015版:
http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe
2013增强版:
http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe
2013版:
http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe
参考信息
http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377&extra=page%3D1
山石网科NEURON安全实验室成立于2015年,为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,实验室研究成果获得微软等厂商致谢,每年获得大量的CNVD、CNNVD、CVE证书或编号。
如需帮助请咨询 hscert@hillstonenet.com