夏茂政府网集成OA办公系统后门事件预警
近日网上有人披露,某网站提供下载的夏茂政府网集成OA办公系统2.0版存在内置后门。
知道创宇安全研究团队已经证明并确认该后门的存在,攻击者可以利用后门上传任意asa文件,从而获取webshell。
目前存在后门的夏茂政府网集成OA办公系统2.0版在网上依然能够下载到。
后门文件分析:
[1] HXINCLUDE\Admin_Upfile.asp
任意用户可直接访问该文件。该文件具有上传功能,且接受扩展名为asa的任意文件。
代码:
27 <%
28 ExtName = "jpg,gif,txt,asa" '允许扩展名
29 SavePath = "/" '保存路径
30 If Right(SavePath,1)"/" Then SavePath=SavePath&"/" '在目录后加(/)
31 CheckAndCreateFolder(SavePath)
代码28行显示接受jpg,gif,txt,asa扩展类型的文件,其中asa和asp文件一样可以为iis服务器解析执行。
[2] HXSaleManage\CustomUpfile.asp
该文件与 HXINCLUDE\Admin_Upfile.asp相同。
截至本告警发出时,官方尚未给出解决方案。
知道创宇给出临时解决方案:
删除这两个后门文件:HXINCLUDE\Admin_Upfile.asp和HXSaleManage\CustomUpfile.asp。
本文给出的临时解决方案仅供临时防御,对系统造成轻微影响尚未进行系统测试。
目前我们已经邮件通知夏茂政府网集成OA办公系统官方,具体解决方案等请等待官方发布。
请使用夏茂政府网集成OA办公系统的站长尽快检查并清理后门!
关于我们:
知道创宇拥有一支国际一流的Web安全研究团队,能够实时跟踪最新Web安全技术及趋势。
我们追求卓越的WEB安全技术,致力于为网站提供安全产品、SaaS(安全即服务)服务,让网站更安全,为中国互联网的信息安全贡献我们的一份力量。
联系我们:http://www.knownsec.com/
2条评论
知道的研究一向很到位。
这是今年的第几起后门事件了…………