通达OA高危漏洞可能感染勒索病毒的风险提示

发布时间:2020-03-20    浏览次数:
  
  通达OA在官方论坛发布了紧急通知,提供了针对部分用户反馈遭到勒索病毒攻击的安全加固程序,补丁更新包括2013版、2013增强版、2015版、2016版、2017版、V11版本等,相关链接参考:
  http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377&extra=page%3D1
  根据公告,遭受攻击的OA服务器首页被恶意篡改,伪装成OA系统错误提示页面让用户下载安装插件,同时服务器上文件被勒索病毒重命名加密,相关链接:
  http://club.tongda2000.com/forum.php?mod=viewthread&tid=128372&extra=page%3D1
  论坛中有多个用户反馈中招(具体现象为:主页被篡改、站点文件扩展名被修改、并生成一个勒索提示文本文件),论坛地址:
  http://club.tongda2000.com/forum.php?mod=viewthread&tid=128367&extra=page%3D1
  2. 影响范围
  官方提供了以下可能受到影响的版本的补丁:
  2013版、2013增强版、2015版、2016版、2017版、V11版本
  下载地址:
  V11版:http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe
  2017版:http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe
  2016版:http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe
  2015版:http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe
  2013增强版:http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe
  2013版:http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe
  根据已知的恶意攻击风险,建议尽快测试更新补丁(同时也需要关注历史累积补丁),并备份好数据,如网络条件允许,OA系统不要直接暴露在互联网上。
  通过安恒研究院SUMAP平台对国内暴露在互联网上的通达OA服务器(非存在漏洞的统计结果,只是暴露在互联网的通达oa服务器,是否存在漏洞需要企业及时检查修复)进行统计,最新查询分布情况如下:
  广东、北京两地服务器暴漏较多,浙江、四川、山东、上海、江苏、河南、湖南等多地均受到不同程度的影响。
  3. 漏洞描述
  安恒应急响应中心对补丁进行了分析,结合论坛用户的反馈,发现勒索病毒可能通过文件上传漏洞植入,测试在11.3的版本中通过文件上传漏洞结合文件包含接口,恶意攻击者可以成功上传Webshell后门,并进一步释放勒索病毒,进程默认由System权限启动,危害较大,建议尽快测试更新补丁,并备份好数据,如网络条件允许,OA系统不要直接暴露在互联网上,可以考虑通过VPN方式内网访问。
  4. 缓解措施
  紧急:目前漏洞利用已经出现,虽然漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议及时测试更新补丁,并做好数据备份。
  如果已经被攻击出现提示下载插件的页面请一定不要点击下载,请及时联系通达官方,帮助恢复备份数据。

Copyright © 2015-2020
ZZYZWK . All Right Reserved
郑州一株网络科技有限公司 版权所有

微信扫码 了解更多

联系我们

公司地址:河南省郑州市高新区大学科技园孵化1号楼718-1
总机:400-6363-901
邮编:450000

一株营销

售后服务部
电话:400-6363-901
邮箱:web@sindns.com
传真:0371-67584840

版权所有:郑州一株网络科技有限公司  地址:河南省郑州市高新区长椿路11号国家大学科技园孵化1号楼718-1

Copyright©2015-2020 www.zzyzwl.com 备案编号:豫ICP备18034860号