畅捷通 T+远程代码执行漏洞安全风险通告
安全通告
近日,红客联盟监测到畅捷通 T+ 远程代码执行漏洞,在特定配置环境下,远程未经身份认证的攻击者可通过特定的参数在接口上传恶意文件从而执行任意命令。目前,此漏洞已被攻击者利用来进行勒索软件攻击,官方已发布针对此漏洞的补丁程序,鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
漏洞名称
畅捷通 T+ 远程代码执行漏洞
公开时间
2022-08-29
更新时间
2022-08-30
CVE编号
暂无
其他编号
QVD-2022-13942
威胁类型
代码执行
技术类型
文件上传
厂商
畅捷通
产品
畅捷通 T+
风险等级
风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC状态
EXP状态
在野利用状态
技术细节状态
未发现
未发现
已发现
未公开
漏洞描述
畅捷通 T+ 远程代码执行漏洞,在特定配置环境下,远程未经身份认证的攻击者可通过特定的参数在接口上传恶意文件从而执行任意命令。
影响版本
畅捷通T+ <= v17.0
其他受影响组件
无
威胁评估
漏洞名称
畅捷通 T+ 远程代码执行漏洞
CVE编号
暂无
其他编号
QVD-2022-13942
CVSS 3.1评级
高危
CVSS 3.1分数
9.8
CVSS向量
访问途径(AV)
攻击复杂度(AC)
网络
低
所需权限(PR)
用户交互(UI)
不需要
不需要
影响范围(S)
机密性影响(C)
未改变
高
完整性影响(I)
可用性影响(A)
高
高
危害描述
在特定配置环境下,远程未经身份认证的攻击者可通过特定的参数在接口上传恶意文件从而执行任意命令。
处置建议
目前,官方已发布针对此漏洞的补丁程序,用户可参考以下链接及时更新官方补丁:
https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5
另外,官方给出了已中毒用户、未中毒用户以及部分中毒用户的应急建议,用户可参考以下建议采取措施:
常见中毒形式为计算机内的各类文件被加上.locked后缀无法使用。
已中毒用户:
1、本地服务器先断网,若各类本地数据文件未备份,建议找相关专业人员,查找是否有备份和其他恢复手段;2、若使用自有云服务器,可以先通过后台,将本台服务器进行镜像备份,再找相关专业人员,查找是否有备份和其他恢复手段;3、检查SQL数据库文件是否被加密,如果没有被加密,请尽快备份SQL数据
对于部分中毒的用户,根据技术人员的排查,发现有一些数据可以直接恢复,建议大家按照如下方式排查:
1、查看产品安装目录下(Chanjet\TPlusStd\DBServer\data)备份文件(zip文件)有些没有locked成功,虽然有.locked文件,但是大小1k,说明没有成功。应该会同时存在原始文件,这些是可以使用的。2、mdf文件是否被locked,如果没有被locked,用sqlserver备份出文件来,找新环境重新系统安装产品建账,把备份文件恢复回去来恢复。不会恢复处理的,可以通过企业微信或者服务热线联系官方客服协助恢复。
未中毒用户:
1、尽快使用安全月活动工具,进行检测加固;2、使用本地服务器的用户,建议关闭公网访问,内网使用;3、使用自购云主机的用户,请马上打开日常镜像备份,购买云服务器提供的安全防护服务4、最最最重要的是!!!!请尽快进行数据备份,并且是多重备份,重要数据文件拷贝至U盘\上传到网盘\多份储存在不同的服务器环境中。
Re: 畅捷通 T+远程代码执行漏洞安全风险通告
感谢分享,这个漏洞看起来挺严重的,9.8的CVSS分数加上已经在野利用,确实需要高度重视。官方补丁链接已经提供了,建议大家赶紧打上,特别是T+ 17.0及以下版本的用户。另外楼主的处置建议很详细,未中毒用户最好先断公网、做多重备份,已中毒的也别慌,按步骤排查数据是否还有救。希望还在用的尽早加固,别被勒索盯上。Re: 畅捷通 T+远程代码执行漏洞安全风险通告
这个漏洞通告非常及时详细,感谢分享!CVSS 9.8的高危分数加上已经在野被勒索利用,确实需要立刻处理。已经提醒公司IT尽快打官方补丁,并按照建议先断网、多重备份数据。大家千万别轻视,尤其是T+版本在17.0及以下的用户,务必重视起来。Re: 畅捷通 T+远程代码执行漏洞安全风险通告
感谢分享,这个漏洞的风险确实很高,CVSS 9.8分加上已经被用于勒索攻击,在野利用状态也显示为“已发现”,说明实际危害正在扩散。建议大家尽快按照官方补丁链接进行更新,尤其注意备份数据、关闭不必要的公网访问。如果已经出现.locked后缀文件,文中提供的恢复思路很实用,可以先检查备份文件和数据库是否完好再操作。
页:
[1]