关于致远OA A8存在任意文件写入漏洞的预警通告和处置建议

作者:广东省网络与信息安全通报中心 | 国际 2019/06/27 20:48:47 809

       广东省网络与信息安全通报中心通报,致远OA A8存在任意文件写入漏洞。
       一、基本情况
       2019年6月26日,广东省网络与信息安全通报中心发现,野外出现致远互联旗下致远 A8+协同管理软件,存在远程 Getshell 漏洞,官方暂未发布安全补丁。致远互联是中国协同管理软件及云服务领导供应商,专注在协同管理软件领域。致远 A8+协同管理软件在很多央企、大型公司都有应用。
       致远 A8+在某些版本上存在任意文件写入漏洞。 远程攻击者在无需登录的情况下可通过向 URL /seeyon/htmlofficeservlet POST 精心构造的数据即可向目标服务器写入任意文件,写入成功后可执行任意系统命令进而控制目标服务器。 目前利用代码已在野外公开, 官方提供的补丁程序仍然可利用。
       二、漏洞级别
       【高危】
       三、影响版本
       致远A8-V5协同管理软件V6.1sp1
       致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3
       致远A8+协同管理软件V7.1
       四、检测过程
       1、访问URL /seeyon/htmlofficeservlet 出现如下内容可能存在漏洞,需要关注。
edcba556e37104819d92c9a8d072a0e2.png
       2、在安全日志中查找“/seeyon/htmlofficeservlet”记录。
       3、如果发现 POST 提交的恶意数据,并且响应为 200 的数据着重关注。
       4、发现上传成功,后门访问路径形如: hxxp://xxx/seeyon/xxx.jsp, 请在 seeyon 目录下排查是否有成功上传的后门文件。
       五、临时建议
       1、配置URL 访问控制策略,部署于公网的 致远 A8+服务器,可通过 ACL 禁止外网对“/seeyon/htmlofficeservlet”路径的访问。
       2、配置防火墙过滤规则
       3、修改Seeyon/A8/ApacheJetspeed/webapps/seeyon/WEB-INF/web.xml文件。
       4、关注官方安全补丁,厂商官网: http://www.seeyon.com/info/company.html


推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室