Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

通达OA文件上传漏洞导致BTC勒索病毒的分析与解决



          前不久,通达OA系统官方网公布了一条安全补丁,透露了最近发生网络攻击利用通达OA

系统文件上传和zip文件含有BUG释放出比特币病毒的攻击事情,网络攻击利用BUG提交websh

ell掩藏OA系统扩展程序的免费下载提醒网页代码,引导用户网页下载运行比特币病毒,官网应

急公布了各版本号的安全防护防护升级包。


 
从官网公布的升级包深入分析,通达OAV11以内版本号仅普遍存在未安全认证随意文件上传BU

G;通达OAV11版本号则普遍存在未安全认证随意文件上传及其随意zip文件含有2个BUG,网

络攻击可在通达OAV11版本号利用2个BUG构建组成利用链,最终在目标网站服务器上运行随

意源代码。
 
 
网站漏洞重现,建立通达OAV11版本号BUG环镜,利用构建文件上传绕开,建立PHPzip文件顺

利上传到目标网站服务器。成效如下所示图:利用zip文件含有BUG,构建攻击数据,顺利浏

览到目标网站服务器的nginx网站服务器系统日志。成效如下所示图:
 
 
利用组成利用2个BUG,最终建立程序运行利用:事情深入分析,据SINE安全防护团队深入分

析,这次利用BUG实现攻击的是一种die语句编程的比特币病毒,利用3des加密+AES优化算

法加锁,临时找不到透明化的破译软件。比特币病毒实现加锁之后会在每一个文件目录下释放

出勒索等等数据zip文件readme_readme_readme.txt,向用户勒索等等0.3BTC,主要内容如下

所示图示:
 
 
并且加锁之后会并找不到更改指定的后缀名,反而是在原来的文件后缀名的最终再加上1个“1”

:恶意的zip文件详细解读。该比特币病毒利用die语句编程,找不到免杀或去抽象化,作用比

较简单,从main中能够看见大体上的运行步骤:利用base64编解码3des加密加锁任意产生的

AES优化算法的公匙,并且用公匙加锁AES密匙:将加锁后的密匙拼接到勒索等等数据中,紧

接着解析xml文件目录释放出勒索等等数据zip文件。

 
 
利用AES优化算法文件加密:升级包深入分析,在通达OA系统所公布的升级包中,共修补了

通达OA2003版、2016增强版、2014年版、2019版、2018版和V11版。全部版本号均修补了

ispirit/im/upload.phpzip文件,下面的图图示就是upload.php修补前后左右的源代码(左侧为

修补前源代码,右侧为修补后的源代码):从修补的地儿看得出,利用关闭‘include_once“./

auth.php”;’的else判断條件,将以前的条件性安全认证更改为强制性安全认证,促使用户在文

件上传前都需要运行认auth.php安全认证利用,明确是不是为登陆模式。在修补前的upload.

phpzip文件的源代码中,假如url地址配置中含有了P配置,就能够绕开此安全认证利用。利

用构建含有配置P的post请求包,就可以立即实现文件上传。
 
 
在通达OAV11版本号中,官网还附加修补了ispirit/interface/gateway.phpzip文件,下面的图

图示就是gateway.php修补前后左右的源代码(左侧为修补前源代码,右侧为修补后的源代

码):
 
 
从上述源代码中,能够看见该API未含有auth.phpzip文件实现安全认证,因此该利用无需登

陆安全认证,且在zip文件最终,运行了zip文件含有用“include_once$url地址;”并且运行该

语句的條件也非常简单,就是相对路径中普遍存在general、ispirit、module当中1个相对路

径就可以。且$url地址为外界可以控制 配置,$url地址配置来自url地址的json配置。从这儿

能够看得出,网络攻击能够利用构建post请求,建立随意zip文件含有。

 
 
 
从上述的升级包深入分析能够看得出,在通达OAV11以内各版本号均普遍存在未安全认证

随意文件上传BUG;而在通达OAV11版本号中,普遍存在未安全认证随意文件上传及其随

意zip文件含有BUG。网络攻击能够在通达OAV11版本号中,利用2个BUG的组成利用,进

行远程操作程序运行利用。
分享: