事件描述:
2024 年 7 月 22 日,在某金融行业客户演习现场,赛博昆仑洞见产品独家捕获了“泛微 Ecology9 产品远程代码执行0day漏洞”攻击事件,并成功实施阻断拦截。
经技术人员分析,该漏洞攻击事件是由前台 SQL 注入漏洞和后台远程代码执行漏洞组合而成。值得一提的是:不同于外网流传的已修复的泛微nday漏洞,攻击发生时该漏洞组合都仍处于0day 状态,危害性大且隐蔽性高。
赛博昆仑洞见产品运用业界领先的加固和微补丁技术,针对系统二进制和Web应用提供未知漏洞的发现能力和高危漏洞防御修复能力,给参与演练用户的系统应用加固提供优先反应的安全防线,使其免受高危及未知0day漏洞攻击。
现场技术人员介绍称,该事件最初是由赛博昆仑的洞见产品主动监测到前端与后端有高危可疑攻击告警,其中前后端攻击事件告警中有两者关联参数。于是研判专家迅速介入该事件并深入排查分析告警信息,其攻击执行是利用该漏洞前台执行 SQL 语句,最终获取泛微 OA 数据库 中包含的用户的账号密码等敏感信息。使用账号密码登录之后,攻击者可以使用后台远程代码执行漏洞进行攻击,获取远程泛微 Ecology9 服务器的权限。
从调用链来看,攻击者挖掘到了新的漏洞利用入口,攻击手法可绕过官方最新提供的修复补丁逻辑,最终可利用该漏洞组合实现泛微最新版本Ecology9前台远程代码执行。
目前赛博昆仑洞见产品已经协助更多用户实现了针对相关泛微Ecology9漏洞利用的防御。目前近期部署的赛博昆仑洞见产品无需升级便可检测和防御该漏洞的利用,用户可申请部署赛博昆仑洞见产品确保对该漏洞后续的攻击利用行为的持续检测与响应。
洞见产品检测拦截泛微漏洞利用组合并告警
洞见产品拦截泛微前台SQL注入漏洞利用并告警
洞见产品检测拦截泛微后台RCE漏洞利用并告警
鉴于泛微应用用户的广泛性及该0day漏洞组合利用的隐蔽性和破坏力,强烈推荐用户部署赛博昆仑的洞见产品,作为免疫二进制及Web应用的0day和高危漏洞攻击神器,赛博昆仑洞见对0day漏洞利用的实时监控和修复防御能力,将为用户的应用安全提供坚实的保障。
