风险提示|金蝶云星空远程代码执行漏洞
金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。
近期,长亭科技监测到微步在线发布一则漏洞通告,声明金蝶云星空发布补丁修复了一处反序列化导致的远程代码执行漏洞。
长亭应急团队经过分析后发现该漏洞类型为不安全的反序列化,仍有较多公网系统仍未修复漏洞。根据漏洞原理编写了无害化的X-POC远程检测工具和牧云本地检测工具,目前已向公众开放下载使用。
漏洞描述
该漏洞是由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。
长亭应急响应实验室深入研究后发现,该漏洞不仅存在于金蝶云星空管理中心(默认8000端口),普通应用(默认80端口)也存在类似问题。
检测工具
X-POC远程检测工具
检测方法
xpoc -r 104 -t 目标URL
工具获取方式
牧云本地检测工具
检测方法
在本地主机上执行以下命令即可无害化扫描:
kingdee_cloud_galaxy_rce_scanner_windows_amd64.exe scan --output result.json
工具获取方式
影响范围
- 6.x版本:低于6.2.1012.4
- 7.x版本:7.0.352.16 至 7.7.0.202111
- 8.x版本:8.0.0.202205 至 8.1.0.20221110
解决方案
临时缓解方案
8.x版本可通过手动添加安全配置并重启IIS的方式进行缓解,注意管理中心与普通应用
配置文件均需添加:
# 普通应用配置:{WebROOT}\Kingdee\K3Cloud\WebSite\App_Data\Common.config
# 管理中心配置:{WebROOT}\Kingdee\K3Cloud\Services\ManagementService\App_Data\Common.config
EnabledKDSVCBinary = false
由于该漏洞不仅影响管理中心(默认8000端口),也影响普通应用(默认80端口)。如果其它版本通过限制访问来源临时缓解漏洞,需要考虑是否会中断普通用户Web业务。
升级修复方案
- 7.x版本必须先安装全量补丁(修复代码)后安装临时补丁(添加安全配置)
- 8.x版本管理中心(默认8000端口)默认不对外开放,且包含修复代码。但是直接安装临时补丁可能会失败,所以依旧建议先安装全量补丁(修复代码)后安装临时补丁(添加安全配置)。
验证补丁是否安装成功修复漏洞,可先按照顺序安装补丁,再使用牧云本地检测工具进行验证。
产品支持
- 云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。
- 洞鉴:支持以自定义PoC的形式进行检测,已发布自定义PoC。
- 牧云:使用管理平台 23.05.001 及以上版本的用户可通过升级平台下载应急漏洞情报库升级包(EMERVULN-23.06.008)在“漏洞应急”功能中支持该漏洞的检测;其它管理平台版本暂不支持该漏洞检测。
- 全悉:已发布升级包,支持检测该漏洞的利用行为。
- 雷池:默认不支持检测,建议添加自定义规则拦截路径。
时间线
- 6月15日 长亭科技获取漏洞情报
- 6月15日 长亭应急响应实验室漏洞分析与复现
- 月16日 长亭安全应急响应中心发布通告
参考资料
相关推荐
