1. 漏洞公告

近日，安恒应急响应中心监测到中国用户群最大的OA软件品牌——通达OA在官方论坛发布了紧急通知，提供了针对部分用户反馈遭到勒索病毒攻击的安全加固程序，补丁更新包括2013版、2013增强版、2015版、2016版、2017版、V11版本等，相关链接参考：

http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377&extra=page%3D1

根据公告，遭受攻击的OA服务器首页被恶意篡改，伪装成OA系统错误提示页面让用户下载安装插件，同时服务器上文件被勒索病毒重命名加密，相关链接：

http://club.tongda2000.com/forum.php?mod=viewthread&tid=128372&extra=page%3D1

论坛中有多个用户反馈中招(具体现象为：主页被篡改、站点文件扩展名被修改、并生成一个勒索提示文本文件)，论坛地址：

http://club.tongda2000.com/forum.php?mod=viewthread&tid=128367&extra=page%3D1

2. 影响范围

官方提供了以下可能受到影响的版本的补丁：

2013版、2013增强版、2015版、2016版、2017版、V11版本

下载地址：

V11版：http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe

2017版：http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe

2016版：http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe

2015版：http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe

2013增强版：http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe

2013版：http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe

根据已知的恶意攻击风险，建议尽快测试更新补丁(同时也需要关注历史累积补丁)，并备份好数据，如网络条件允许，OA系统不要直接暴露在互联网上。

通过安恒研究院SUMAP平台对国内暴露在互联网上的通达OA服务器(非存在漏洞的统计结果，只是暴露在互联网的通达oa服务器，是否存在漏洞需要企业及时检查修复)进行统计，最新查询分布情况如下：

由此可见，广东、北京两地服务器暴漏较多，浙江、四川、山东、上海、江苏、河南、湖南等多地均受到不同程度的影响。

3. 漏洞描述

安恒应急响应中心对补丁进行了分析，结合论坛用户的反馈，发现勒索病毒可能通过文件上传漏洞植入，测试在11.3的版本中通过文件上传漏洞结合文件包含接口，恶意攻击者可以成功上传Webshell后门，并进一步释放勒索病毒，进程默认由System权限启动，危害较大，建议尽快测试更新补丁，并备份好数据，如网络条件允许，OA系统不要直接暴露在互联网上，可以考虑通过VPN方式内网访问。

4. 缓解措施

紧急：目前漏洞利用已经出现，虽然漏洞细节和利用代码暂未公开，但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码，建议及时测试更新补丁，并做好数据备份。

如果已经被攻击出现提示下载插件的页面请一定不要点击下载，请及时联系通达官方，帮助恢复备份数据。

​本文转载自安恒信息