分析报告 | 通达OA高危漏洞可能感染勒索病毒 威胁国内资产

• posted by 风暴中心
• 专题,技术,预警通告

近日，安恒应急响应中心监测到通达OA在官方论坛发布了紧急通知，提供了针对部分用户反馈遭到勒索病毒攻击的安全加固程序，补丁更新包括2013版、2013增强版、2015版、2016版、2017版、V11版本等。

根据公告，遭受攻击的OA服务器首页被恶意篡改，伪装成OA系统错误提示页面让用户下载安装插件，同时服务器上文件被勒索病毒重命名加密，目前论坛中有多个用户反馈中招（具体现象为：主页被篡改、站点文件扩展名被修改、并生成一个勒索提示文本文件）。

安恒信息安全数据大脑采用Sumap全球探测引擎，以及领先的网络资产单位与地理定位技术，对全国的通达OA资产进行探测与定位，我国境内通达OA系统资产有：3.4万，涉及800个域名网站资产和3.35万个IP网站资产，安全数据大脑针对这批通达OA系统资产进行进一步定位，分析可能受影响资产的地区分布、行业分布、用户场景等情况。

1    国内通达OA系统域名网站分布情况

国内共发现有797个暴露在互联网上的域名网站资产采用的是通达OA系统架构。在这批系统中，有789个采用了http协议对外提供服务，有8个采用https协议对外提供服务，共涉及617个备案单位。

1.1   单位区域分布

通过对这批通达OA系统所属单位所在区域进行分析，主要是分布在广东（91个）、北京（90个）、江苏（65个）、山东（63个）、浙江（58个）五个省份数量比较多，通达OA系统域名网站根据单位归属划分区域，全国分布情况如下图：

通达OA系统域名网站单位分布TOP15省份如下：

1.2   IP区域分布

 通过对这批通达OA系统IP所在地进行区域分析，主要是分布在广东（117个）、北京（98个）、浙江（71个）、江苏（67个）、山东（61个）五个省份数量比较多，通达OA系统域名网站根据单位归属划分区域，全国分布情况如下图：

通达OA系统域名网站IP分布TOP15省份如下：

1.3  行业分布

通过对国内通达OA域名资产系统所属单位的行业进行分析，发现主要采用该系统框架的主要是以企业为主，其次事业单位和政府机关也会有少量采用该系统架构。

2   国内通达OA系统IP网站分布情况

IP网站：通过IP和端口直接对外提供服务，直接访问对应的ip和端口即可打开系统页面。

国内共发现有33,519 个暴露在互联网上的IP网站资产采用的是通达OA系统架构。在这批系统中，有16,679个采用了http协议对外提供服务，有16,840个采用https协议对外提供服务。通过对IP和端口进行去重，总共发现27,763条资产记录，共涉及20,088个IP。

2.1   IP区域分布

通过对IP和端口去重后的27,763条通达OA资产进行区域分布分析，主要是分布在广东（4,786个）、浙江（4,005个）、北京（3,755个）、湖北（3,548个）、四川（1,981个）五个省份数量比较多，通达OA系统域名网站根据单位归属划分区域，全国分布情况如下图：

通达OA系统IP网站区域分布TOP15省份如下：

2.2   用户场景分布

通过对国内IP网站中通达OA系统进行单位定位分析，发现主要采用该系统框架的用户主要应用场景为住宅用户和企业专线，其次数据中心和学校单位也会有少量采用该系统架构。

2.3   运营商分布

通过对国内IP网站中通达OA系统对外开放的IP所在运营商进行分析，主要是中国电信、中国联通、阿里云、中国移动、腾讯等为主。

3   处置建议

安恒应急响应中心对补丁进行了分析，结合论坛用户的反馈，发现勒索病毒可能通过文件上传漏洞植入，测试在11.3的版本中通过文件上传漏洞结合文件包含接口，恶意攻击者可以成功上传Webshell后门，并进一步释放勒索病毒，进程默认由System权限启动，危害较大，建议尽快测试更新补丁，并备份好数据，如网络条件允许，OA系统不要直接暴露在互联网上，可以考虑通过VPN方式内网访问。

4    缓解措施

紧急：目前漏洞利用已经出现，虽然漏洞细节和利用代码暂未公开，但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码，建议及时测试更新补丁，并做好数据备份。

如果已经被攻击出现提示下载插件的页面请一定不要点击下载，请及时联系通达官方帮恢复备份数据。

5    技术支持

针对本次事件，安恒风暴中心协同Sumap 开展针对我国的通达OA系统资产探测和单位定位服务：

1）可为各地的CERT、公安、网信提供区域的通达OA资产梳理服务。如有对通达OA系统的单位归属与街道定位需求，可联系安恒工作人员获取更高价值的通达OA系统单位定位服务。

2）如需要进一步进行通达OA系统漏洞探测，可使用风暴中心玄武盾云监测产品。

3）如需要进一步进行防护，可使用风暴中心玄武盾云防护产品。

4）监管单位以及行业主管单位可通过先知SaaS对辖区内资产进行统计分析以及安全情况梳理。

以上支撑服务详情  请致电400-6059-110 转2