记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

已发现在野利用!畅捷通 T+远程代码执行漏洞安全风险通告

2022-08-30 18:18

近日,奇安信CERT监测到畅捷通 T+ 远程代码执行漏洞,在特定配置环境下,远程未经身份认证的攻击者可通过特定的参数在接口上传恶意文件从而执行任意命令。目前,此漏洞已被攻击者利用来进行勒索软件攻击,奇安信天擎已在数月前支持对相关勒索软件的查杀。官方已发布针对此漏洞的补丁程序,鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

漏洞名称

畅捷通 T+ 远程代码执行漏洞

公开时间

2022-08-29

更新时间

2022-08-30

CVE编号

暂无

其他编号

QVD-2022-13942

威胁类型

代码执行

技术类型

文件上传

厂商

畅捷通

产品

畅捷通 T+

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

已发现

未公开

漏洞描述

畅捷通 T+ 远程代码执行漏洞,在特定配置环境下,远程未经身份认证的攻击者可通过特定的参数在接口上传恶意文件从而执行任意命令。

影响版本

畅捷通T+ <= v17.0

其他受影响组件

威胁评估

漏洞名称

畅捷通 T+ 远程代码执行漏洞

CVE编号

暂无

其他编号

QVD-2022-13942

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

不需要

影响范围(S

机密性影响(C

未改变

完整性影响(I

可用性影响(A

危害描述

在特定配置环境下,远程未经身份认证的攻击者可通过特定的参数在接口上传恶意文件从而执行任意命令。

处置建议

目前,官方已发布针对此漏洞的补丁程序,用户可参考以下链接及时更新官方补丁:

https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5

另外,官方给出了已中毒用户、未中毒用户以及部分中毒用户的应急建议,用户可参考以下建议采取措施:

常见中毒形式为计算机内的各类文件被加上.locked后缀无法使用。

已中毒用户:

1、本地服务器先断网,若各类本地数据文件未备份,建议找相关专业人员,查找是否有备份和其他恢复手段;

2、若使用自有云服务器,可以先通过后台,将本台服务器进行镜像备份,再找相关专业人员,查找是否有备份和其他恢复手段;

3、检查SQL数据库文件是否被加密,如果没有被加密,请尽快备份SQL数据

对于部分中毒的用户,根据技术人员的排查,发现有一些数据可以直接恢复,建议大家按照如下方式排查:

1、查看产品安装目录下(Chanjet\\TPlusStd\\DBServer\\data)备份文件(zip文件)有些没有locked成功,虽然有.locked文件,但是大小1k,说明没有成功。应该会同时存在原始文件,这些是可以使用的。

2、mdf文件是否被locked,如果没有被locked,用sqlserver备份出文件来,找新环境重新系统安装产品建账,把备份文件恢复回去来恢复。不会恢复处理的,可以通过企业微信或者服务热线联系官方客服协助恢复。

未中毒用户:

1、尽快使用安全月活动工具,进行检测加固;

2、使用本地服务器的用户,建议关闭公网访问,内网使用;

3、使用自购云主机的用户,请马上打开日常镜像备份,购买云服务器提供的安全防护服务

4、最最最重要的是!!!!请尽快进行数据备份,并且是多重备份,重要数据文件拷贝至U盘\\上传到网盘\\多份储存在不同的服务器环境中。

产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对畅捷通 T+ 远程代码执行漏洞的防护。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0829.13525或以上版本。规则ID及规则名称:

0x10021142,畅捷通 T+ 远程代码执行漏洞 。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7609,建议用户尽快升级检测规则库至 2208292050以后版本并启用该检测规则。

参考资料

[1]https://mp.weixin.qq.com/s/4E4E1O7Y8VR17PL9jd59Yg

[2]https://www.chanjetvip.com/a/1053502

[3]https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5

声明:本文来自奇安信 CERT,版权归作者所有。


知识来源: https://www.secrss.com/articles/46363

阅读:238634 | 评论:0 | 标签:漏洞 远程 执行 安全 远程代码执行

想收藏或者和大家分享这篇好文章→复制链接地址

“已发现在野利用!畅捷通 T+远程代码执行漏洞安全风险通告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎营运续持们我助帮↓

标签云 ☁