近日,监测到畅捷通 T+ 远程代码执行漏洞,未经身份认证的远程攻击者可通过某接口上传恶意文件,从而执行任意代码。目前,此漏洞已被攻击者利用来进行勒索软件攻击。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
漏洞信息
畅捷通 T+ 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。
|
漏洞名称 |
畅捷通 T+ 远程代码执行漏洞 |
||
|
公开时间 |
2022-08-29 |
更新时间 |
2022-08-30 |
|
CVE编号 |
其他编号 |
QVD-2022-13942 |
|
|
威胁类型 |
代码执行 |
技术类型 |
文件上传 |
|
厂商 |
畅捷通 |
产品 |
畅捷通 T+ |
|
风险等级 |
|||
|
风险评级 |
风险等级 |
||
|
高危 |
蓝色(一般事件) |
||
|
现时威胁状态 |
|||
|
POC状态 |
EXP状态 |
在野利用状态 |
技术细节状态 |
|
未发现 |
未发现 |
已发现 |
未公开 |
|
漏洞描述 |
畅捷通 T+ 远程代码执行漏洞,未经身份认证的远程攻击者可利用此漏洞上传恶意文件到目标系统,从而执行任意代码。 |
||
|
影响版本 |
畅捷通T+ <= v17.0 |
||
|
其他受影响组件 |
无 |
||
威胁评估
|
漏洞名称 |
畅捷通 T+ 远程代码执行漏洞 |
|||
|
CVE编号 |
其他编号 |
QVD-2022-13942 |
||
|
CVSS 3.1评级 |
高危 |
CVSS 3.1分数 |
9.8 |
|
|
CVSS向量 |
访问途径(AV) |
攻击复杂度(AC) |
||
|
网络 |
低 |
|||
|
所需权限(PR) |
用户交互(UI) |
|||
|
不需要 |
不需要 |
|||
|
影响范围(S) |
机密性影响(C) |
|||
|
未改变 |
高 |
|||
|
完整性影响(I) |
可用性影响(A) |
|||
|
高 |
高 |
|||
|
危害描述 |
未经身份认证的远程攻击者可利用此漏洞上传恶意文件到目标系统,从而执行任意代码。 |
|||
处置建议
目前,官方已发布针对此漏洞的补丁程序,用户可参考以下链接及时更新官方补丁:
https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5
另外,官方给出了已中毒用户、未中毒用户以及部分中毒用户的应急建议,用户可参考以下建议采取措施:
常见中毒形式为计算机内的各类文件被加上.locked后缀无法使用。
已中毒用户:
1、本地服务器先断网,若各类本地数据文件未备份,建议找相关专业人员,查找是否有备份和其他恢复手段;
2、若使用自有云服务器,可以先通过后台,将本台服务器进行镜像备份,再找相关专业人员,查找是否有备份和其他恢复手段;
3、检查SQL数据库文件是否被加密,如果没有被加密,请尽快备份SQL数据
对于部分中毒的用户,根据技术人员的排查,发现有一些数据可以直接恢复,建议大家按照如下方式排查:
1、查看产品安装目录下(Chanjet\TPlusStd\DBServer\data)备份文件(zip文件)有些没有locked成功,虽然有.locked文件,但是大小1k,说明没有成功。应该会同时存在原始文件,这些是可以使用的。
2、mdf文件是否被locked,如果没有被locked,用sqlserver备份出文件来,找新环境重新系统安装产品建账,把备份文件恢复回去来恢复。不会恢复处理的,可以通过企业微信或者服务热线联系官方客服协助恢复。
未中毒用户:
1、尽快使用安全月活动工具,进行检测加固;
2、使用本地服务器的用户,建议关闭公网访问,内网使用;
3、使用自购云主机的用户,请马上打开日常镜像备份,购买云服务器提供的安全防护服务
4、最最最重要的是!!!!请尽快进行数据备份,并且是多重备份,重要数据文件拷贝至U盘\上传到网盘\多份储存在不同的服务器环境中。