近日，綠盟科技CERT監(jiān)測(cè)到用友暢捷通T+存在任意文件上傳漏洞，未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者可構(gòu)造特定請(qǐng)求上傳惡意文件到目標(biāo)系統(tǒng)，從而在服務(wù)器上執(zhí)行任意代碼。目前已發(fā)現(xiàn)在野利用，有消息稱此漏洞被用來進(jìn)行大批量的勒索軟件攻擊，鑒于此漏洞影響范圍較大，建議相關(guān)用戶盡快進(jìn)行排查與修復(fù)。

用友暢捷通 T+是一款基于互聯(lián)網(wǎng)的新型企業(yè)管理軟件，功能模塊包括：財(cái)務(wù)管理、采購管理、庫存管理等。主要針對(duì)中小型工貿(mào)和商貿(mào)企業(yè)的財(cái)務(wù)業(yè)務(wù)一體化應(yīng)用，融入了社交化、移動(dòng)化、物聯(lián)網(wǎng)、電子商務(wù)、互聯(lián)網(wǎng)信息訂閱等元素。

綠盟科技Titan團(tuán)隊(duì)第一時(shí)間成功復(fù)現(xiàn)：

影響范圍

受影響版本

暢捷通 T+ <= v17.0

漏洞防護(hù)

官方升級(jí)

目前官方已發(fā)布補(bǔ)丁修復(fù)了該漏洞，請(qǐng)受影響的用戶盡快安裝更新進(jìn)行防護(hù)，官方下載鏈接：?https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5

產(chǎn)品防護(hù)

部署有綠盟WEB應(yīng)用防護(hù)系統(tǒng)（WAF）、綠盟綜合威脅探針（UTS）與綠盟智能安全運(yùn)營平臺(tái)（ISOP）的用戶，可通過添加自定義規(guī)則的方式進(jìn)行臨時(shí)防護(hù)和攻擊研判。操作步驟如下：

1. WAF自定義規(guī)則

添加自定義規(guī)則：【安全管理】-【規(guī)則庫管理】-【自定義】-【新建】

（1）Method 屬于 POST——添加

（2）URI-path 正則包含 /tplus/SM/SetupAccount/Upload\.aspx——添加

（3）Parameter-name 正則等于 preload——添加

新建自定義策略或者在已有自定義策略選用規(guī)則：【安全管理】-【策略管理】-【自定義策略】-【新建】

將剛剛新建的自定義規(guī)則添加到新建的自定義策略里面。

將策略應(yīng)用到站點(diǎn)：【安全管理】-【站點(diǎn)防護(hù)】-【對(duì)應(yīng)站點(diǎn)】-【W(wǎng)eb安全防護(hù)】-【自定義策略】

在對(duì)應(yīng)站點(diǎn)中選中剛剛新建的自定義策略

如果存在虛擬站點(diǎn)，需要查看虛擬站點(diǎn)中是否選中該策略：

2. UTS自定義規(guī)則

位置：策略配置-規(guī)則配置-規(guī)則管理-自定義規(guī)則管理-新建

匹配特征：/tplus/SM/SetupAccount/Upload.aspx?preload=1

也可以選擇匹配類型為正則表達(dá)式，特征：/tplus/SM/SetupAccount/Upload.aspx.*preload=1.*

告警位置：數(shù)據(jù)中心-威脅告警-自定義規(guī)則告警

3. ISOP自定義規(guī)則

位置（新版）：知識(shí)庫-規(guī)則庫-攻擊識(shí)別規(guī)則-新建——專家模式

位置（舊版）： -組件-攻擊識(shí)別引擎

填寫完后，全部按照默認(rèn)配置執(zhí)行，注意只添加uri識(shí)別 ：

添加結(jié)果如下，需要點(diǎn)擊應(yīng)用配置生效：

測(cè)試結(jié)果：

4. 流量回溯&研判

1）流量日志回溯

位置：分析中心/?溯源分析?/?日志搜索

uri:*tplus*SM*SetupAccount*Upload.aspx* AND uri:*preload=1*

建議選擇web訪問日志縮小數(shù)據(jù)

2）研判

【攻擊企圖】post_data進(jìn)行base64解碼之后，如果filename有dll、compiled、asp字符都屬于攻擊

【攻擊成功】暫未復(fù)現(xiàn)，不提供對(duì)應(yīng)的研判動(dòng)作

防護(hù)建議

1、若相關(guān)用戶暫時(shí)無法進(jìn)行補(bǔ)丁更新，建議對(duì)相關(guān)系統(tǒng)進(jìn)行訪問限制，或聯(lián)系暢捷通官方進(jìn)行安全加固支持。

2、基于常態(tài)的安全運(yùn)營機(jī)制，提高開展暴露面稽查頻率，持續(xù)監(jiān)測(cè)邊界與內(nèi)網(wǎng)的攻擊和異常行為，及時(shí)發(fā)現(xiàn)潛在的勒索風(fēng)險(xiǎn)；

3、接入安全廠商威脅情報(bào)體系，同步最新的事件與可利用漏洞情報(bào)并及時(shí)處置閉環(huán)，避免新漏洞長期滯留成為勒索入口；

4、針對(duì)勒索常用攻擊手段開展專項(xiàng)工作，如憑據(jù)泄露、弱口令、安全意識(shí)等專項(xiàng)治理，對(duì)域控、統(tǒng)一運(yùn)維、云桌面等集權(quán)類系統(tǒng)加強(qiáng)安全配置、防護(hù)與監(jiān)控；

5、定期備份重要業(yè)務(wù)數(shù)據(jù)，制定包含業(yè)務(wù)恢復(fù)過程在內(nèi)的勒索事件應(yīng)急響應(yīng)流程；

聲明

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失，均由使用者本人負(fù)責(zé)，綠盟科技以及安全公告作者不為此承擔(dān)任何責(zé)任。

綠盟科技擁有對(duì)此安全公告的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此安全公告，必須保證此安全公告的完整性，包括版權(quán)聲明等全部內(nèi)容。未經(jīng)綠盟科技允許，不得任意修改或者增減此安全公告內(nèi)容，不得以任何方式將其用于商業(yè)目的。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/