一、安全漏洞

安全公告编号:CNTA-2019-0023

2019年6月26日，国家信息安全漏洞共享平台（CNVD）收录了致远OA-A8系统远程命令执行漏洞（CNVD-2019-19299）。攻击者利用该漏洞，可在未授权的情况下上传任意文件，实现远程命令执行。目前，漏洞原理和利用工具已扩散，厂商已于26日晚10时完成修复并向客户发出补丁，建议用户立即更新或采取临时修补方案进行防护。

一、漏洞情况分析

致远OA-A8是由北京致远互联软件股份有限公司（以下简称致远公司）开发的一款协同管理软件，构建了面向中大型、集团组织的数字化协同运营平台。致远OA-A8系统基于组织管理的基础理论设计，支持大型组织的发展和变化，解决了组织结构、业务重组、组织流程再造等结构治理相对应的问题，满足集团战略管控、营运管控和财务管控的战略协同行为和垂直业务管控的要求。

该系统的漏洞点在于致远OA-A8系统的Servlet接口暴露，安全过滤处理措施不足，使得用户在无需认证的情况下实现任意文件上传。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的网站后门文件，从而获取目标服务器权限，在目标服务器上执行任意代码。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

致远A8-V5协同管理软件 V6.1sp1

致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3

致远A8+协同管理软件V7.1

CNVD秘书处对致远OA-A8系统在我国境内的分布情况进行统计，结果显示我国境内的致远OA-A8系统数量约为3.1万。综合CNVD技术支撑单位报送、CNVD秘书处主动检测的结果显示，我国境内共有334台服务器存在漏洞，受影响比例约为1.1%。我平台已将检测结果与致远公司共享，协助其开展用户侧修复相关工作。

三、漏洞处置建议

目前，致远公司已发布补丁完成修复，并成立专项小组，对涉及以上版本的用户进行排查。补丁和更新信息获取方式如下：

1、登录致远互联服务网站（??????support.seeyon.com）获取补丁；

2、关注“致远互联微服务”公众号，及时获取安全更新通知；

3、如有技术问题可联系致远公司，Email：security@seeyon.com，电话：400-700-8822。

临时修补方案如下：

1、 配置URL访问控制策略；

2、 在公网部署的致远A8+服务器，通过ACL禁止外网对“/seeyon/htmlofficeservlet”路径的访问；

3、 对OA服务器上的网站后门文件进行及时查杀。

建议使用致远OA-A8系统的信息系统运营者进行自查，发现存在漏洞后，按照以上方案及时修复。

另，致远OA在部分企事业单位的内网办公系统应用也较为广泛，建议及时进行自查和修复。

二、防御情况（来自WAF、防火墙）

1、告警分类统计报表                                                

2、告警分类统计数据

下半月，根据我校WAF防护结果统计，主要的攻击威胁如下

1）HTTP访问控制事件：共拦截36071次；

2）爬虫事件：共拦截8777次。

3）WEB构件漏洞攻击：共拦截4195次；

4）SQL注入攻击：共拦截997次；

5）非法下载：共拦截198次；

3、防火墙黑名单

   根据WAF、防火墙的防护情况，针对频繁次数攻击威胁的公网IP进行拉黑处理，06月份下半月共拉黑地址27个。

三、下半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告，下半月境内感染网络病毒的主机数量约为22.0万个。

下半月 CNCERT 监测发现境内被篡改网站数量为6726个； 境内被植入后门的网站数量为3296个；针对境内网站的仿冒页面数量为10504个。

四、建议防范措施

根据我校06月份下半月整体网络与信息安全情况及外部网络威胁情况，应做到以下几点：

1、我校使用的OA系统为致远的V8-A5，虽然版本不一样，但也要在使用时多加注意帐户安全，避免网络安全事件的发生

2、不要在不安全的地方登录OA系统（如网吧等）。