• 通达OA 系统远程执行代码漏洞报告

  • 1. 漏洞简介

    通达OA团队于2020/3/13日收到部分用户反馈遭到勒索病毒攻击。为此,通达OA产品团队紧急制作了针对勒索病毒的安全加固程序。

    2. 危害分析

    可能导致远程代码执行导致被黑客入侵:从官方发布的补丁分析,通达OA V11以下版本仅存在未授权任意文件上传漏洞;通达OA V11版本则存在未授权任意文件上传以及任意文件包含两个漏洞,攻击者可在通达OA V11版本利用两个漏洞构造组合利用链,最终在目标服务器上执行任意代码,可能会被植入勒索病毒。

    3. 漏洞解析

    根据diff 详细解析,发现此次RCE 为一套组合拳,分别含有两个漏洞(未授权文件包含漏洞+未授权文件上传漏洞)。

    首先查看文件上传漏洞

    发现只要存在参数P的时候,就不会进入auth.php 执行身份校验,从而绕过身份验证

    在上传的时候会校验 DEST_UID , UPLOAD_MODE 参数是否存在,并且要求提交关于ATTACHMENT 的相关参数。

    因此在构造的时候需要符合对应的规则。在文件成功创建的时候,回在返回值的json串中的content 反回对应的文件夹信息,其中有几处发生了替换,上传后的文件夹在MYOA/attach/im/ 下

    文件包含漏洞也是同样的道理,不过情况是反了过来

    是有P参数的时候可以发生未授权的文件包含漏洞

    根据代码,仅需构造符合上述规则的参数为json 的有url json 字符串即可触发对应漏洞

    组合拳效果示例

    4.  缓解措施

    有需要漏洞自查工具的客户请与黎先生联系:17620853088  020-37684469

    更新安全补丁

    V11版:http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe

    2017版:http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe

    2016版:http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe

    2015版:http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe

    2013增强版:http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe

    2013版:http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe

    Web补丁

    http://cdndown.tongda2000.com/oasp/2019/2020_A1.rar

    5.  受影响版本

    V11

    2017

    2016

    2015

    2013增强版

    2013

    6.  相关链接

    1. http://www.tongda2000.com/news/673.php

    2.http://club.tongda2000.com/forum.phpmod=viewthread&tid=128377&extra=page%3D1