关于致远OA A8存在任意文件写入漏洞的预警通告和处置建议

作者:???广东省网络与信息安全通报中心 2019/06/27 20:48:47 344次阅读 国际

? ? ? ?广东省网络与信息安全通报中心通报,致远OA A8存在任意文件写入漏洞。
? ? ? ?一、基本情况
? ? ? ?2019年6月26日,广东省网络与信息安全通报中心发现,野外出现致远互联旗下致远 A8+协同管理软件,存在远程 Getshell 漏洞,官方暂未发布安全补丁。致远互联是中国协同管理软件及云服务领导供应商,专注在协同管理软件领域。致远 A8+协同管理软件在很多央企、大型公司都有应用。
? ? ? ?致远 A8+在某些版本上存在任意文件写入漏洞。 远程攻击者在无需登录的情况下可通过向 URL /seeyon/htmlofficeservlet POST 精心构造的数据即可向目标服务器写入任意文件,写入成功后可执行任意系统命令进而控制目标服务器。 目前利用代码已在野外公开, 官方提供的补丁程序仍然可利用。
? ? ? ?二、漏洞级别
? ? ? ?【高危】
? ? ? ?三、影响版本
? ? ? ?致远A8-V5协同管理软件V6.1sp1
? ? ? ?致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3
? ? ? ?致远A8+协同管理软件V7.1
? ? ? ?四、检测过程
? ? ? ?1、访问URL /seeyon/htmlofficeservlet 出现如下内容可能存在漏洞,需要关注。
edcba556e37104819d92c9a8d072a0e2.png
? ? ? ?2、在安全日志中查找“/seeyon/htmlofficeservlet”记录。
? ? ? ?3、如果发现 POST 提交的恶意数据,并且响应为 200 的数据着重关注。
? ? ? ?4、发现上传成功,后门访问路径形如: hxxp://xxx/seeyon/xxx.jsp, 请在 seeyon 目录下排查是否有成功上传的后门文件。
? ? ? ?五、临时建议
? ? ? ?1、配置URL 访问控制策略,部署于公网的 致远 A8+服务器,可通过 ACL 禁止外网对“/seeyon/htmlofficeservlet”路径的访问。
? ? ? ?2、配置防火墙过滤规则
? ? ? ?3、修改Seeyon/A8/ApacheJetspeed/webapps/seeyon/WEB-INF/web.xml文件。
? ? ? ?4、关注官方安全补丁,厂商官网: http://www.seeyon.com/info/company.html


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室