本文由安恒风暴中心发布,风暴中心将会陆续在freebuf媒体平台上,发布各类专题技术报告、年度安全报告及最新技术研究,欢迎各位关注我们,参与交流和讨论。
智慧城市安全风暴中心是杭州安恒信息技术股份有限公司顺应当前信息化发展中云计算化、大数据化、SaaS化的大趋势,专门设立的网络安全态势监测、感知、防护、分析及预警部门。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、连续四届世界互联网大会、G20杭州峰会、厦门金砖峰会、上合峰会、进博会、联合国世界信息地理大会等众多重大活动提供网络信息安全保障。
1 调研分析
近日,安恒应急响应中心监测到通达OA在官方论坛发布了紧急通知,提供了针对部分用户反馈遭到勒索病毒攻击的安全加固程序,补丁更新包括2013版、2013增强版、2015版、2016版、2017版、V11版本等。
根据公告,遭受攻击的OA服务器首页被恶意篡改,伪装成OA系统错误提示页面让用户下载安装插件,同时服务器上文件被勒索病毒重命名加密,目前论坛中有多个用户反馈中招(具体现象为:主页被篡改、站点文件扩展名被修改、并生成一个勒索提示文本文件)。
安恒信息安全数据大脑采用Sumap全球探测引擎,以及网络资产单位与地理定位技术,对全国的通达OA资产进行探测与定位得出:我国境内通达OA系统资产有3.4万,其中涉及800个域名网站资产和3.35万个IP网站资产。
更多详细数据请查看:https://www.websaas.cn/typecho/news/index.php/archives/22/
通过对这些数据的深入分析,我们得出如下结果:
网站资产所属单位地理分布
Top 5
网站资产IP所在地理分布
Top 5
网站资产所属单位的行业分布
主要采用该系统框架是以企业为主
政府机关和事业单位也会少量采用
国内共发现有33,519 个暴露在互联网上的IP网站资产采用的是通达OA系统架构,通过对IP和端口进行去重,总共发现27,763条资产记录,共涉及20,088个IP。
这27,763条资产的地理分布
Top 5
这20,088个IP的单位定位分布
主要应用场景为
这20,088个IP所在运营商分布
Top 5
2 处置建议
安恒应急响应中心对补丁进行了分析,结合论坛用户的反馈,发现勒索病毒可能通过文件上传漏洞植入,测试在11.3的版本中通过文件上传漏洞结合文件包含接口,恶意攻击者可以成功上传Webshell后门,并进一步释放勒索病毒,进程默认由System权限启动,危害较大。建议尽快测试更新补丁,并备份好数据,如网络条件允许,OA系统不要直接暴露在互联网上,可以考虑通过VPN方式内网访问。
紧急:目前漏洞利用已经出现,虽然漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议及时测试更新补丁,并做好数据备份。
如果已经被攻击出现提示下载插件的页面请一定不要点击下载,请及时联系通达官方帮恢复备份数据。
3 技术支持
针对本次事件,安恒风暴中心协同Sumap 开展针对我国的通达OA系统资产探测和单位定位服务:
1)可为各地的CERT、公安、网信提供区域的通达OA资产梳理服务。如有对通达OA系统的单位归属与街道定位需求,可联系安恒工作人员(400-6059-110 转 2)获取更全面的通达OA系统单位定位服务。
2)如需要进一步进行通达OA系统漏洞探测,可使用风暴中心玄武盾云监测产品。
3)如需要进一步进行防护,可使用风暴中心玄武盾云防护产品。
4)监管单位以及行业主管单位,可通过先知SaaS服务对辖区内资产进行统计分析以及安全情况梳理。
– End –
来源:freebuf.com 2020-03-20 15:50:40 by: 安恒风暴中心
请登录后发表评论
注册