发布时间:2019-09-27 11:50:54,来源:中国信息通信研究院
一、 基本情况
致远OA官网被入侵,且其中一个页面被植入了木马,攻击者在对泛微OA系统攻击时,该页面地址被用作木马下载URL。
二、 攻击原理
日前,泛微OA系统被曝出一个高危漏洞,攻击者可以利用该漏洞未授权访问系统,并直接在目标服务器上执行任意命令。
随着漏洞细节的披露,近几日针对暴露在网络中的泛微OA系统的攻击变得更为活跃。据监测从上周六起,针对泛微OA系统的攻击呈爆炸式增长,同时,监测到一起从另一家OA企业—致远官网“下手”的挂马攻击案例。
在这起案例中,攻击者入侵泛微OA系统后,通过微软合法程序certutil.exe下载恶意文件到被入侵服务器中,而下载URL为cape.seeyon.com/seeyon/H5/apps/*,该URL地址指向服务器正是致远OA官网。这就意味着,攻击者已经成功入侵了致远OA官网,并在其中一个页面中植入了木马,在对泛微OA系统的攻击时将该页面地址作为木马下载URL。
经过进一步分析,该木马文件基于开源渗透测试工具PowerLine修改而成(http://github.com/fullmetalcache/PowerLine)。攻击者只需要在配置文件UserConf.xml 中进行设置,就能使PowerLine在不启动PowerShell的情况下执行其中的PowerShell代码。
三、 影响范围
受影响网站:致远OA官网
四、 处置建议
鉴于近期针对OA类系统的攻击事件频发,并且此次攻击涉及的用户众多,建议措施如下:
1)请泛微OA系统的管理员,及时到泛微OA官网下载安装安全补丁www.weaver.com.cn/cs/securityDownload.asp;
2)另外,特别提醒致远OA官方检查其官网安全状况,及时删除存在风险的文件。
五、 参考链接
1)http://www.seeyon.com/home/Tiyan/index.html?PZ-pc-top
2)https://github.com/fullmetalcache/PowerLine