【漏洞预警】泛微E-cology OA远程命令执行漏洞

2019年9月,白帽汇安全研究院观测到泛微官网更新了最新漏洞补丁,涉及一个高危漏洞——远程命令执行。该漏洞利用难度低,危害大,预计会对全球泛微e-cology OA造成较大影响。该漏洞是由于OA系统存在的java Beanshell接口缺乏权限控制措施,任意攻击者都可通过特意构造的请求直接调用接口远程执行命令,从而彻底控制服务器。该漏洞影响的软件版本较多,各泛微OA的网站管理人员请及时打上补丁。

2222.png

泛微成立于2001年,在中国拥有巨大软件市场,覆盖86各行业,30000多企业,包括太平洋保险、中国中化在内的世界五百强,茅台、伊利在内中国知名企业都使用了泛微的办公软件。此次曝出漏洞的E-cology属于泛微旗下的大中型企业OA,被各大中小企业广泛使用,其中2018年9月27日发布的9.0版本也受该漏洞所影响。

概况

目前FOFA系统最新数据(一年内数据)显示全球范围内共有19376个泛微服务。中国使用数量最多,共有19035个,中国香港第二,共有111个,美国第三,共有95个,新加坡第四,共有31个,印度第五,共有18个。

全球范围内泛微e-cology OA分布情况如下(仅为分布情况,非漏洞影响情况)

5555.png

中国大陆地区北京市使用数量最多,共有4376个,广东省第二,共有2011个,上海市第三,共有1366个,浙江省第四,共有1355个,江苏省第五,共有1162个。

4444.png

危害等级

严重

漏洞原理

泛微通过resin来处理servlet,而在resin下lib文件夹的bsh.jar文件中有一个存在缺陷的类bsh.servlet.BshServlet。其中doGet函数会从getParameter中接受参数并交给evalsc ript函数处理,而evalsc ript函数又会调用localInterpreter.eval(paramString),这个eval方法可以执行代码,最终导致远程命令执行。

33333.jpg

漏洞影响

目前漏洞影响版本号包括:

泛微E-cology =< 9.0

漏洞POC

目前FOFA客户端平台已经更新该远程命令执行漏洞的检测POC。

3333.png

POC截图

CVE编号

暂无编号 

修复建议

1、官网已发布安全更新,用户可以通过网址https://www.weaver.com.cn/cs/securityDownload.asp获得。

2、如暂时无法更新到最新版本,请使用防火墙等第三方设备对敏感路径BshServlet/进行拦截。

参考

[1] https://www.weaver.com.cn/

[2] http://blog.nsfocus.net/weaver-e-cology/

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐