通达OA远程代码执行漏洞通告
2020-03-18 13:24

报告编号:B6-2020-031801

报告来源:360-CERT

报告作者:360-CERT

更新日期:2020-03-18

0x01 漏洞背景

2020年03月18日, 360CERT监测发现通达OA官方在03月13日发布了针对勒索病毒事件的紧急更新。根据分析该事件是通达OA中存在的两枚漏洞(文件上传漏洞,文件包含漏洞)所导致。

通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品,涵盖了个人事务、行政办公、流程审批、知识管理、人力资源管理、组织机构管理等企业信息化管理功能。2015年,通达云OA入驻阿里云企业应用专区,已为众多中小企业提供了稳定、可靠、强悍的云计算支撑。

该漏洞无需登录/用户交互即可触发

0x02 风险等级

360CERT对该漏洞进行评定

评定方式 等级
威胁等级 高危
影响面 一般

360CERT建议广大用户及时更新通达OA。做好资产 自查/自检/预防 工作,以免遭受攻击。

0x03 漏洞证明

测试版本为 通达OA 11.3 2020-01-03

下载地址如下

【通达OA】办公就用通达OA,通达OA官方网站OA系统协同办公

文件上传证明

文件包含证明

0x04 影响版本

  • tongdaOA V11
  • tangdaOA 2017
  • tangdaOA 2016
  • tangdaOA 2015
  • tangdaOA 2013 增强版
  • tangdaOA 2013

0x05 修复建议

版本 更新包下载地址
V11版 http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe
2017版 http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe
2016版 http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe
2015版 http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe
2013增强版 http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe
2013版 http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现 通达OA 在境内使用使用居多。具体分布如下图所示。

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞/事件 进行监测,请用户联系相关产品区域负责人获取对应产品。

0x08 时间线

2020-03-13 通达OA发布更新

2020-03-18 360CERT发布预警

0x09 参考链接

  1. 通达OA-提醒您及时对OA服务器做好安全防护!