安全社区

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件。近日，通达OA官方收到部分用户反馈遭到勒索病毒攻击，起因是部分通达OA版本存在远程代码执行漏洞，官网已紧急发布安全漏洞更新程序。鉴于此漏洞危险程度极高，相关用户应加强安全防范，及时更新对应版本补丁。

【漏洞描述】

该漏洞在绕过身份验证的情况下通过文件上传漏洞并组合文件包含漏洞最终造成远程代码执行漏洞。

【漏洞危害】

利用此漏洞，攻击者无需身份验证，可远程在目标系统上执行任意代码，获取目标系统的控制权限。进而攻击者可以利用此漏洞实现勒索病毒、挖矿木马、窃取敏感数据等各种攻击，此漏洞风险较大。

【漏洞复现】

通过文件上传漏洞在未登录的情况下上传构造的包含php代码的jpg文件：

组合利用文件包含漏洞执行php代码最终获取服务器控制权限：

【漏洞影响版本】

  通达OA V11版：

  通达OA 2017版：

  通达OA 2016版

  通达OA 2015版

  通达OA 2013增强版

  通达OA 2013版

【修复方案】

1、及时到通达OA官网下载更新补丁包进行升级，更新前应做好数据备份，各版本补丁下载地址如下：

通达OA V11版：

http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe

通达OA 2017版：

http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe

通达OA 2016版

http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe

通达OA 2015版

http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe

通达OA 2013增强版

http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe

通达OA 2013版

http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe

具体操作：请根据当前OA版本号，选择压缩包中所对应的程序文件，覆盖到MYOAwebroot目录下。

2、针对暂时无法更新补丁的用户应及时切断通达OA互联网访问途径，同时请做好备份数据。

【漏洞验证】

黑盾云已针对最新通达OA远程代码执行漏洞提供在线检测POC：点击【这里】可直接访问。

【参考资料】

http://www.tongda2000.com/news/673.php

http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377&extra=page%3D1