关于Smartbi登录代码逻辑漏洞的动态情报

一、基本内容

近日，思迈特软件核查发现存在“登录代码逻辑漏洞”问题，重点影响范围涉及Smartbi V9及其以上版本。该漏洞可能导致攻击者利用逻辑缺陷对目标系统进行攻击，造成敏感信息泄露和远程代码执行的风险。

二、相关发声情况

Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌。7月3日，Smartbi确认方官发布漏洞提醒。

图1 Smartbi官方公告

同日，奇安信CERT监测到Smartbi官方发布安全更新，修复了Smartbi登录代码逻辑漏洞(QVD-2023-15129)，并创建初始报告，报告中提出“鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护”。

图2 奇安信安全通告

7月4日，奇安信对安全风险通告进行二次更新，报告中复现了Smartbi登录代码逻辑漏洞(QVD-2022-1583)，进一步利用可执行任意代码：

图3 奇安信漏洞复现

微步提出该漏洞利用难度低，建议尽快修复。同时提出除了到官方获取安全补丁的建议，还提出了临时修复方案，方便无法打补丁的客户进行防护。

图4 微步提出修复方案

三、分析研判

该登录代码逻辑漏洞的存在可能导致以下风险和影响：

1.敏感信息泄露：攻击者可以利用该漏洞获取用户的敏感信息，如用户名、密码等，进而可能导致个人隐私泄露和身份盗用的风险。

2.远程代码执行：攻击者可以通过利用该漏洞在目标系统上执行恶意代码，或获取更多权限、进而控制系统。

3．进行其他恶意活动：攻击者如果连续性利用该漏洞对Smartbi系统进行攻击，可能导致系统崩溃、服务中断，影响业务的正常运行。

四、应对策略

为了应对Smartbi商业智能软件登录代码逻辑漏洞，以下是一些建议的应对策略：

1. 及时更新补丁：Smartbi官方已发布修复方案，请用户尽快联系官方获取安全补丁，并及时对受影响的系统进行更新。

2. 强化访问控制：限制对Smartbi系统的访问权限，确保只有授权的用户可以登录和操作系统。

3. 加强用户教育与意识：提高用户对网络安全的认知和意识，教育用户使用强密码、定期更换密码，并警惕钓鱼邮件、恶意链接等网络攻击手段。

4. 监测与检测：建立有效的安全监测和检测机制，及时发现和应对任何异常活动和潜在的攻击行为。

5. 定期备份数据：定期备份Smartbi系统中的重要数据，以防止数据丢失或被攻击者篡改。