夏茂政府网集成OA办公系统后门事件预警

近日网上有人披露，某网站提供下载的夏茂政府网集成OA办公系统2.0版存在内置后门。
知道创宇安全研究团队已经证明并确认该后门的存在，攻击者可以利用后门上传任意asa文件，从而获取webshell。
目前存在后门的夏茂政府网集成OA办公系统2.0版在网上依然能够下载到。

后门文件分析：
[1] HXINCLUDE\Admin_Upfile.asp
任意用户可直接访问该文件。该文件具有上传功能，且接受扩展名为asa的任意文件。
代码：

27 <%
28 ExtName = "jpg,gif,txt,asa" '允许扩展名
29 SavePath = "/" '保存路径
30 If Right(SavePath,1)"/" Then SavePath=SavePath&"/" '在目录后加(/)
31 CheckAndCreateFolder(SavePath)

代码28行显示接受jpg,gif,txt,asa扩展类型的文件，其中asa和asp文件一样可以为iis服务器解析执行。

[2] HXSaleManage\CustomUpfile.asp
该文件与 HXINCLUDE\Admin_Upfile.asp相同。

截至本告警发出时，官方尚未给出解决方案。
知道创宇给出临时解决方案：
删除这两个后门文件：HXINCLUDE\Admin_Upfile.asp和HXSaleManage\CustomUpfile.asp。
本文给出的临时解决方案仅供临时防御，对系统造成轻微影响尚未进行系统测试。
目前我们已经邮件通知夏茂政府网集成OA办公系统官方，具体解决方案等请等待官方发布。

请使用夏茂政府网集成OA办公系统的站长尽快检查并清理后门！

关于我们：
知道创宇拥有一支国际一流的Web安全研究团队，能够实时跟踪最新Web安全技术及趋势。
我们追求卓越的WEB安全技术，致力于为网站提供安全产品、SaaS（安全即服务）服务，让网站更安全，为中国互联网的信息安全贡献我们的一份力量。
联系我们：http://www.knownsec.com/