当前位置:首页 > 漏洞预警 > 正文

致远OA官网被入侵挂马预警

发布时间:2019-09-27 11:50:54,来源:中国信息通信研究院

      一、 基本情况

致远OA官网被入侵,且其中一个页面被植入了木马,攻击者在对泛微OA系统攻击时,该页面地址被用作木马下载URL。

      二、 攻击原理

日前,泛微OA系统被曝出一个高危漏洞,攻击者可以利用该漏洞未授权访问系统,并直接在目标服务器上执行任意命令。

随着漏洞细节的披露,近几日针对暴露在网络中的泛微OA系统的攻击变得更为活跃。据监测从上周六起,针对泛微OA系统的攻击呈爆炸式增长,同时,监测到一起从另一家OA企业—致远官网“下手”的挂马攻击案例。

在这起案例中,攻击者入侵泛微OA系统后,通过微软合法程序certutil.exe下载恶意文件到被入侵服务器中,而下载URL为cape.seeyon.com/seeyon/H5/apps/*,该URL地址指向服务器正是致远OA官网。这就意味着,攻击者已经成功入侵了致远OA官网,并在其中一个页面中植入了木马,在对泛微OA系统的攻击时将该页面地址作为木马下载URL。

图片.png

经过进一步分析,该木马文件基于开源渗透测试工具PowerLine修改而成(http://github.com/fullmetalcache/PowerLine)。攻击者只需要在配置文件UserConf.xml 中进行设置,就能使PowerLine在不启动PowerShell的情况下执行其中的PowerShell代码。

      三、 影响范围

受影响网站:致远OA官网

      四、 处置建议

鉴于近期针对OA类系统的攻击事件频发,并且此次攻击涉及的用户众多,建议措施如下:

1)请泛微OA系统的管理员,及时到泛微OA官网下载安装安全补丁www.weaver.com.cn/cs/securityDownload.asp;

2)另外,特别提醒致远OA官方检查其官网安全状况,及时删除存在风险的文件。

      五、 参考链接

1)http://www.seeyon.com/home/Tiyan/index.html?PZ-pc-top

2)https://github.com/fullmetalcache/PowerLine