通达OA远程代码执行漏洞通告

通达OA远程代码执行漏洞通告

360-CERT [360CERT](javascript:void(0)😉 今天

img

0x00 漏洞背景

2020年03月18日, 360CERT监测发现通达OA官方在03月13日发布了针对勒索病毒事件的紧急更新。根据分析该事件是通达OA中存在的两枚漏洞(文件上传漏洞,文件包含漏洞)所导致。

通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品,涵盖了个人事务、行政办公、流程审批、知识管理、人力资源管理、组织机构管理等企业信息化管理功能。2015年,通达云OA入驻阿里云企业应用专区,已为众多中小企业提供了稳定、可靠、强悍的云计算支撑。

该漏洞无需登录/用户交互即可触发

0x01 风险等级

360CERT对该漏洞进行评定

评定方式等级
威胁等级高危
影响面一般

360CERT建议广大用户及时更新通达OA。做好资产 自查/自检/预防 工作,以免遭受攻击。

0x02 漏洞证明

测试版本为通达OA 11.32020-01-03

下载地址如下

【通达OA】办公就用通达OA,通达OA官方网站_OA系统_协同办公

https://www.tongda2000.com/download/2019.php?F=&K=

文件上传证明

img

文件包含证明

img

0x03 影响版本

  • tongdaOA V11
  • tangdaOA 2017
  • tangdaOA 2016
  • tangdaOA 2015
  • tangdaOA 2013 增强版
  • tangdaOA 2013

0x04 修复建议

版本更新包下载地址
V11版http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe
2017版http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe
2016版http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe
2015版http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe
2013增强版http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe
2013版http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe

0x05 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现 通达OA 在境内使用使用居多。具体分布如下图所示。

img

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞/事件 进行监测,请用户联系相关产品区域负责人获取对应产品。

0x07 时间线

2020-03-13 通达OA发布更新

2020-03-18 360CERT发布预警

0x08 参考链接

1.通达OA-提醒您及时对OA服务器做好安全防护!

[http://www.tongda2000.com/news/673.php]

转载自https://mp.weixin.qq.com/s/5zhZqOWjAy9ue109E1VuCw

admin-root 系统安全 web安全 安全架构
网络安全人人有责,护网一方卫国安邦
欢迎关注公众号:爱国小白帽
推送技术原创及好用的安全工具
因为我也是小白所以文章没啥深度,很适合小白学习,有问题可以一起探讨哦
已标记关键词 清除标记