风险提示|用友NC存在多个高危漏洞
漏洞详情:用友NC NCMessageServlet反序列化漏洞
用友NC是由用友软件公司开发的企业资源计划(ERP)系统。这个系统采用模块化设计,包括但不限于财务管理、供应链管理、人力资源管理和生产管理等模块,试图实现企业各部门间的信息整合。用户可以根据企业实际需求选择合适的模块。它旨在提供详尽的业务数据,以协助企业作出决策。
近日,微步在线发布安全通告文章,声明用友NC系统修复了一处反序列化远程代码执行漏洞。
长亭应急团队分析漏洞后,根据该漏洞原理编写了X-RAY远程检测工具和牧云本地检测工具,分别支持远程检测和本地检测,供大家下载自检使用。
漏洞描述
用友NC在处理客户端请求数据的过程中。在反序列化用户提供的数据时,没有足够的检查和过滤,可能导致恶意的反序列化操作,在操作系统上执行命令。
长亭科技安全研究员经过分析后,发现该系统存在反序列化的利用点较多。目前在官方公开漏洞修复方案为对已知利用点进行反序列化白名单控制,以及对部分利用链依赖进行修复。导致该系统后续出现类似问题的可能性依旧较大。
检测工具
X-RAY远程检测工具
复制链接:https://stack.chaitin.com/tool/detail?id=1 前往xray - CT Stack 安全社区下载最新版本xray。
执行:./xray ws --poc poc-yaml-yongyou-nc-ncmessageservlet-rce --url http://example.com 即可扫描。
影响范围
用友NC<=6.5
解决方案
由于官方公开的修复方案并未从根本上解决相关的反序列化问题,建议使用相关系统的用户在尽快前往参考链接打补丁的同时,做好访问来源的限制,尽量避免用友NC系统暴露在公网或不安全的网络环境中。
产品支持
- 云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。
- 洞鉴:已支持该漏洞的PoC原理检测。
- 雷池:默认支持该漏洞检测。
- 全悉:默认支持检测反序列化利用行为,已发布规则升级包,支持该漏洞的检测。
- 牧云:默认支持该产品的应用资产采集。
参考链接
相关推荐
