【烽火狼烟】泛微OA系统远程代码执行高危漏洞的安全影响力评估
前言
近日,泛微e-cology OA系统存在远程代码执行的漏洞被爆出,泛微e-office OA系统是办公常用的协同管理应用平台。该漏洞源于泛微e-cology OA系统当中自带且允许未授权访问的java Beanshell组件之中,攻击者可通过构造特殊的HTTP请求调用该Beanshell接口,达到绕过泛微本身安全限制从而实现远程命令执行的目的。
网络基本情况(泛微e-cology OA系统基本情况)
盛邦安全网络空间搜索引擎发现全球共有17903台机器使用泛微e-cology OA系统,具体分布情况分布见下图(颜色深浅代表数量多少,颜色越深数量越高)。
在全球范围内,中国使用的泛微e-cology OA系统最多,有11318台设备。其次是美国,有6215台设备使用泛微e-cology OA系统,南非排第三,有52台设备使用泛微e-cology OA系统。新加坡有37台设备使用泛微e-cology OA系统。日本有33台设备使用泛微e-cology OA系统,俄罗斯则有30台设备使用泛微e-cology OA系统。
在中国境内泛微e-cology OA系统的使用中,香港最多,有1825台。其次是浙江,有1505台设备使用泛微e-cology OA系统,北京排第三,有1491台设备使用泛微e-cology OA系统。广东有1258台设备使用泛微e-cology OA系统,上海有1127台设备使用泛微e-cology OA系统,江苏有702台设备使用泛微e-cology OA系统,山东有593台设备使用泛微e-cology OA系统。
事件影响及其修复
1. 受影响版本为:泛微e-cology<=10.0。
2. 如果可以的话,禁止该系统在公网开放;否则,可以通过ACL(访问控制列表) 禁止外网对*/*BshServlet/路径的访问。
3. 泛微官网已经发布修复补丁
补丁地址:https://www.weaver.com.cn/cs/securityDownload.asp。
总结
网络空间搜索引擎的角度去探讨泛微e-cology OA系统远程代码执行高危漏洞对全球造成的影响力。主要的结论如下:
1. 现阶段全球共有17903台机器使用泛微e-cology OA系统。
2. 此漏洞源于未授权访问的java Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制进行命令执行。