【漏洞】OA辦公系統“烽火狼煙”,高危漏洞攻擊爆發

360安全衛士發表於2019-09-24

日前,泛微OA系統被曝出一個高危漏洞,攻擊者可以利用該漏洞未授權訪問系統,並直接在目標伺服器上執行任意命令。而隨著漏洞細節的披露,近幾日針對暴露在網路中的泛微OA系統的攻擊變的更為活躍。根據360安全大腦的監測發現,從上週六起,針對泛微OA系統的攻擊呈爆炸式增長。


【漏洞】OA辦公系統“烽火狼煙”,高危漏洞攻擊爆發

(相對近半年較平緩的攻擊態勢,最近幾日針對泛微OA系統的攻擊呈“爆炸式”增長) 

漏洞+掛馬強組CP,黑客操作驚現"一波雙黑"


泛微OA e-cology是國內應用廣泛的OA解決方案,服務著金融、通訊、房地產、教育、進出口、甚至是國家市政基礎設施等行業領域。而這次被曝出的高危漏洞,可怕之處就在於,攻擊者可以未授權訪問介面,然後構造惡意請求包,繞過泛微OA本身的安全限制,實現遠端命令執行,從而接管伺服器。正是由於該漏洞危險極高、範圍極廣,一下吸引了大量黑客的“狂轟濫炸”。本來呢,這也只是泛微OA“自家”的事情,但奇葩的是,竟然有黑客發起了“一箭雙鵰”的攻擊操作。360安全大腦近期針對泛微OA系統的攻擊事件進行梳理時,就發現了一起從另一家OA企業——致遠官網“下手”的掛馬攻擊案例。

在這起案例中,攻擊者先入侵泛微OA系統之後,通過微軟合法程式certutil.exe下載惡意檔案到被入侵伺服器中,而下載url為 hxxps://cape.seeyon.com/seeyon/H5/apps/* ,該url地址指向伺服器正是致遠OA官網。這就意味著,致遠OA“躺著中槍”,攻擊者已經成功入侵了致遠OA官網,並在其中一個頁面中植入了木馬,在對泛微OA系統的攻擊時將該頁面地址作為木馬下載url。


【漏洞】OA辦公系統“烽火狼煙”,高危漏洞攻擊爆發

(PowerLine介紹)


經過360安全大腦的進一步分析,該木馬檔案基於開源滲透測試工具PowerLine修改而成(http://github.com/fullmetalcache/PowerLine)。攻擊者只需要在配置檔案UserConf.xml 中進行設定,就能使PowerLine在不啟動PowerShell的情況下執行其中的PowerShell程式碼。而鑑於近期針對泛微OA系統的攻擊事件頻發,並且此次攻擊涉及的使用者眾多,360安全大腦建議:

1. 前往weishi.360.cn,下載安裝360安全衛士並保證開啟,可全面攔截各類病毒木馬攻擊,保護電腦隱私和財產安全;

2.請泛微OA系統的管理員,及時到泛微OA官網下載安裝安全補丁www.weaver.com.cn/cs/securityDownload.asp;

3. 另外,特別提醒致遠OA官方檢查其官網安全狀況,及時刪除存在風險的檔案。

【漏洞】OA辦公系統“烽火狼煙”,高危漏洞攻擊爆發


IOC

hxxps://cape.seeyon.com/seeyon/H5/apps/*

0d0ee9323bcf8b061b934714f6663855


相關文章