V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kokyang123
V2EX  ›  信息安全

关于畅捷通 T+ 文件上传漏洞(0day)

  •  1
     
  •   kokyang123 · 2022-09-05 13:51:50 +08:00 · 3376 次点击
    这是一个创建于 815 天前的主题,其中的信息可能已经有所发展或是发生改变。
    2022 年 8 月 29 日和 8 月 30 日,畅捷通公司紧急发布安全补丁修复了畅捷通 T+ 软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞,通过绕过系统鉴权,在特定配置环境下实现任意文件的上传,从而执行任意代码,获得服务器控制权限。目前,已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。

    我们公司购买了一套畅捷通部署在了自己的服务器上,目前所有与畅捷通相关的文件已经被勒索病毒锁定,v 站有被影响到的小伙伴吗
    24 条回复    2022-09-07 13:45:32 +08:00
    dashupc
        1
    dashupc  
       2022-09-05 13:55:19 +08:00
    接到好几个想要恢复数据的,但是办不了
    thtznet
        2
    thtznet  
       2022-09-05 13:59:33 +08:00   ❤️ 3
    用友的问题,这种情况应该找用友公司索赔。国内的两家 ERP 厂商为了老的 C/S 平台的软件能继续割韭菜,强行利用 远程应用虚拟化软件将 C/S 转为 云应用,实际上只是 Remote APP ,且安全性基本没有,应用虚拟化软件都是第三方开发的。最愚蠢的是,国内的金蝶和用友都要求客户部署的服务器需要联网(时不时有个许可在线认证),愚蠢到极致,一个公司最重要的 ERP 服务器必须要求联网才能正常使用,简直无语。
    imnpc
        3
    imnpc  
       2022-09-05 14:02:15 +08:00
    数据没有备份的话 除了被勒索毫无办法
    但是网安部门一般建议不要付款给勒索者 这样勒索犯罪会更多
    kokyang123
        4
    kokyang123  
    OP
       2022-09-05 14:05:19 +08:00
    @thtznet 我们是为了给两地的财务人员同时用,账套开了不到 1 年,但是重新补录也是不小的工作量
    thtznet
        5
    thtznet  
       2022-09-05 14:08:06 +08:00   ❤️ 2
    @kokyang123 如果你是正版用户,正常索赔就行了,补录的工作量该请人请人,人天结算,拿着发票上庭索赔就行了。这个事情中间作为用户你没有一点错误,该谁承担责任就谁承担,不然我付费买正版软件做啥?
    hayhong123
        6
    hayhong123  
       2022-09-05 14:51:13 +08:00
    被加密了基本没有其他办法 号称解密的其实也都是黑产一条龙
    hiro0729
        7
    hiro0729  
       2022-09-05 15:34:08 +08:00
    就是 java 那个 log4j 的漏洞吧,我们也中招了。。。。
    gearfox
        8
    gearfox  
       2022-09-05 15:48:22 +08:00
    畅捷通第二天出了个补丁,然后没下文了。。。
    lazyrm
        9
    lazyrm  
       2022-09-05 17:35:30 +08:00
    是的 ,中招了
    fengjianxinghun
        10
    fengjianxinghun  
       2022-09-05 17:49:29 +08:00
    @thtznet 不愚蠢,实时在线才能在国内反盗版,不这么干只剩盗版
    kokyang123
        11
    kokyang123  
    OP
       2022-09-05 18:03:01 +08:00
    @hiro0729 @gearfox @lazyrm 我们的服务器现在只剩下 Microsoft SQL Server 这个文件夹没有被加密,还有没有机会恢复,但是畅捷通账套的数据库文件好像是在 X:\Chanjet\TPlusStd\DBServer 。
    NewYear
        12
    NewYear  
       2022-09-05 20:21:23 +08:00
    用友的致远 OA 也是频繁有安全漏洞,还不能自动升级,或者一键升级修补,人都麻了,生怕哪天就中招了。

    对于这种 web 端,还要映射到外网供任何人在任何地方连接的,太恐怖了。
    javashell
        13
    javashell  
       2022-09-05 21:50:04 +08:00
    漏洞简单到令人发指,就是绕过认证+任意文件上传 估计早就有相关利用了,只是最近才被利用到黑产上。
    备份才是王道
    thtznet
        14
    thtznet  
       2022-09-05 23:19:37 +08:00
    @fengjianxinghun 事实上,该盗还是盗版,防不了,盗版的预防只能通过业务模式的创新,靠技术去防盗版是没有前途的,例如 SAP 有盗版么?也许有,但是行业内很少听说吧,因为 SAP 的价值不在软件本身而在业务实施,这个东西它盗版不了。国内的 ERP 厂商营销思路还没转过来(但是他们心理清楚,只是很难调头)。
    aaa5838769
        15
    aaa5838769  
       2022-09-05 23:29:57 +08:00
    应该不止你们一家被黑,全国影响范围 10 万+。上安全产品吧,缩减你们公司的暴露面吧。
    mercury233
        16
    mercury233  
       2022-09-05 23:52:17 +08:00
    见过一个本地行业内流行的 ERP 是把 sa 密码简单变换后写到每台电脑的客户端的 ini 文件里,由客户端使用 sa 权限直连数据库
    xmh51
        17
    xmh51  
       2022-09-05 23:59:17 +08:00
    @mercury233 传统操作。。还有券商客户端这么干的。。
    sampeng
        18
    sampeng  
       2022-09-06 08:42:29 +08:00
    部署在自己服务器上,应该安全是自己负责。
    套个 VPN 不麻烦吧?作为操作人员也就多一步操作。
    thtznet
        19
    thtznet  
       2022-09-06 11:08:39 +08:00
    @sampeng 无法部署在自己服务器上的,这个架构设计成最终用户是连厂商的服务器(公网),然后厂商的服务器会和你买的部署在自己服务器的 ERP 软件有个保持连接的通道,最终用户通过厂商的服务器连接跳转获取你自己内网 ERP 服务器上的数据。想出这种方案的人的确是有商业头脑的,把客户绑得死死的,你想脱离厂商自己搞都不行,必须每年交钱,号称云服务。但是实际的 ERP 数据确是在你内网的服务器上的,对厂商来说又省去了资源消耗最大的计算环节。鬼才啊。但是对客户来说是什么呢?客户的 ERP 服务器相当于永久开着一个内网穿透代理给 ERP 厂商,客户的网络防火墙做得再完善也挡不住这种架构的入侵。
    kokyang123
        20
    kokyang123  
    OP
       2022-09-06 19:36:09 +08:00 via iPhone
    吐槽一下。打电话给畅捷通客服统一口径,都是客户的原因,我们的软件很安全,因为我们自己云上的用户没有影响
    这次攻击是无差别攻击等等。
    哎,
    感觉以后针对行业软件的攻击应该少不了,留个坑。
    sampeng
        21
    sampeng  
       2022-09-07 11:13:17 +08:00
    @thtznet 内网穿透不可能吧。。。肯定是 vpn/专线这一类啊。。用内网穿透的方案?那有漏洞怪不得别人。。该赔赔
    sampeng
        22
    sampeng  
       2022-09-07 11:14:32 +08:00
    @kokyang123 还是要对这些软件的架构方案进行内部安全评审才行。
    thtznet
        23
    thtznet  
       2022-09-07 13:44:02 +08:00
    @kokyang123 混合云就这点毛病,出了事,都说自己没问题。该认清现实了,国内的软件厂商靠不住的,要么所有走公有云,出问题,对方赖都赖不掉,全托管的。要么就全部私有云,自己内网部署,不要和任何互联网沾上边,风险自控。不要考虑金蝶用友那种不伦不类的玩法。
    thtznet
        24
    thtznet  
       2022-09-07 13:45:32 +08:00
    @sampeng 实际架构很难说清楚,谁知道怎么传输的数据,但是你的服务器和厂商的服务器连通的这点是确定的,不管套不套 VPN ,主要你的口子和厂商的网络连通,那么相当于你把安全性交给的厂商,国内的厂商这种商业道德么你们也懂的...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3316 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 12:26 · PVG 20:26 · LAX 04:26 · JFK 07:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.