通达OA远程代码执行漏洞通告
2020-03-18 13:24
报告编号:B6-2020-031801
报告来源:360-CERT
报告作者:360-CERT
更新日期:2020-03-18
0x01 漏洞背景
2020年03月18日, 360CERT监测发现通达OA官方在03月13日发布了针对勒索病毒事件的紧急更新。根据分析该事件是通达OA中存在的两枚漏洞(文件上传漏洞,文件包含漏洞)所导致。
通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品,涵盖了个人事务、行政办公、流程审批、知识管理、人力资源管理、组织机构管理等企业信息化管理功能。2015年,通达云OA入驻阿里云企业应用专区,已为众多中小企业提供了稳定、可靠、强悍的云计算支撑。
该漏洞无需登录/用户交互即可触发
0x02 风险等级
360CERT对该漏洞进行评定
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 一般 |
360CERT建议广大用户及时更新通达OA。做好资产 自查/自检/预防 工作,以免遭受攻击。
0x03 漏洞证明
测试版本为 通达OA 11.3
2020-01-03
下载地址如下
【通达OA】办公就用通达OA,通达OA官方网站OA系统协同办公
文件上传证明
文件包含证明
0x04 影响版本
- tongdaOA V11
- tangdaOA 2017
- tangdaOA 2016
- tangdaOA 2015
- tangdaOA 2013 增强版
- tangdaOA 2013
0x05 修复建议
0x06 相关空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现 通达OA 在境内使用使用居多。具体分布如下图所示。
0x07 产品侧解决方案
360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞/事件 进行监测,请用户联系相关产品区域负责人获取对应产品。
0x08 时间线
2020-03-13 通达OA发布更新
2020-03-18 360CERT发布预警