一、漏洞详情
用友畅捷通 T+是一款互联网企业管理软件,主要针对财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。
用友畅捷通官方于8月30日发布了安全更新补丁,修复了用友畅捷通T+任意文件上传漏洞,该漏洞源于某接口存在未授权访问,恶意攻击者可以通过构造恶意请求上传任意文件,成功利用此漏洞的攻击者可执行任意代码,从而控制服务器。目前,此漏洞已被攻击者利用来进行勒索软件攻击。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
畅捷通 T+ <= v17.0
三、修复建议
官方建议:
1、目前官方已更新补丁,建议受影响的用户下载相关补丁进行修复。
下载链接:https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5
2、对于已中毒用户、部分中毒的用户和未中毒用户官方给出以下建议,建议受影响的用户及时测试,进行修复。
常见中毒形式为计算机内的各类文件被加上.locked后缀无法使用。
已中毒用户:
(1)本地服务器先断网,若各类本地数据文件未备份,建议找相关专业人员,查找是否有备份和其他恢复手段;
(2)若使用自有云服务器,可以先通过后台,将本台服务器进行镜像备份,再找相关专业人员,查找是否有备份和其他恢复手段;
(3)检查SQL数据库文件是否被加密,如果没有被加密,请尽快备份SQL数据。
对于部分中毒的用户:
根据官方技术人员的排查,发现有一些数据可以直接恢复,建议大家按照如下方式排查:
(1)查看产品安装目录下(Chanjet\TPlusStd\DBServer\data)备份文件(zip文件)有些没有locked成功,虽然有.locked文件,但是大小1k,说明没有成功。应该会同时存在原始文件,这些是可以使用的;
(2)mdf文件是否被locked,如果没有被locked,用sqlserver备份出文件来,找新环境重新系统安装产品建账,把备份文件恢复回去来恢复。不会恢复处理的,可以通过企业微信或者服务热线联系官方客服协助恢复。
未中毒用户:
(1)尽快使用安全月活动工具,进行检测加固;
(2)使用本地服务器的用户,建议关闭公网访问,内网使用;
(3)使用自购云主机的用户,请打开日常镜像备份,购买云服务器提供的安全防护服务;
(4)尽快进行数据备份,并且是多重备份,重要数据文件拷贝至U盘\上传到网盘\多份储存在不同的服务器环境中。