T1190-通达V11.6-RCE漏洞
来自ATT&CK的描述
使用软件,数据或命令来利用面向Internet的计算机系统或程序中的弱点,从而导致意外或无法预期的行为。系统的弱点可能是错误、故障或设计漏洞。这些应用程序通常是网站,但是可以包括数据库(例如SQL),标准服务(例如SMB 或SSH)以及具有Internet可访问开放的任何其他应用程序,例如Web服务器和相关服务。根据所利用的缺陷,这可能包括“ 利用防御防卫”。
如果应用程序托管在基于云的基础架构上,则对其进行利用可能会导致基础实际应用受到损害。这可以使攻击者获得访问云API或利用弱身份和访问管理策略的路径。
对于网站和数据库,OWASP排名前10位和CWE排名前25位突出了最常见的基于Web的漏洞。
测试案例
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。
该exp会删除uth.inc.php文件导致OA系统系统异常。
目前已知受影响版本:V11.6
检测日志
HTTP.log
测试复现
漏洞复现建议参考以下文章
https://www.cnblogs.com/L0ading/p/13529013.html
测试留痕
可自行本地测试抓取流量
检测规则/思路
Sigma规则
建议使用HTTP流量+安全设备进行检测分析判断攻击是否成功。
title: 通达OA v11.6 RCE
description: 检测通达OA v11.6 RCE漏洞
author: 12306Bro
date: 2020/08/19
status: experimental
references:
- https://www.cnblogs.com/L0ading/p/13529013.html
logsource:
category: webserver
detection:
selection1:
c-uri:
- '//module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php' #响应包状态码为200
- '//inc/auth.inc.php' #响应包状态码为404,意味着删除成功
http.request.method: 'GET' #请求方法为GET
User-Agent: 'python-requests/*' #PY脚本自带
selection2:
c-uri:
- '//general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.%3C%3E./.%3C%3E./.%3C%3E./' #响应包状态码为200
http.request.method: 'POST' #请求方法为POST
User-Agent: 'python-requests/*' #PY脚本自带
Content-Disposition: form-data; name="FILE1"; filename="*.php" #写入shell文件
condition: selection1 or selection2 #当条件1和条件2出现任意一个时,意味着你可能正在遭受探测性攻击,如果在短时间内出现了条件1后,出现了条件2,并且返回包状态码为200,意味着攻击正在发生,可能入侵成功。
falsepositives:
- Unknown
level: critical
此规则检测颗粒度较细,建议根据数据源等实际情况进行调整。
建议
暂无
参考推荐
MITRE-ATT&CK-T1190
https://attack.mitre.org/techniques/T1190/
最新通达OA11.6版本前台getshell漏洞复现