欢迎user
畅捷通T+是用友推出的一款新型互联网企业管理系统,畅捷通T+能够满足企业对其业务流程的管控需求,重点解决往来业务管理、订单跟踪、资金、库存等管理难题。畅捷通T+用户可以通过各种固定或移动设备随时随地迅速获取企业实时、动态的运营信息,适用于异地多组织、多机构对企业财务汇总的管理需求;全面支持企业对远程仓库、异地办事处的管理需求;全面满足企业财务业务一体化管理需求。近日,新华三攻防实验室威胁预警团队监测到互联网上爆发了黑客利用畅捷通T+的漏洞进行勒索病毒传播攻击,针对该漏洞新华三攻防实验室威胁预警团队进行了实时跟踪和分析。
未经授权的恶意攻击者通过畅捷通T+暴露的Web服务接口,将恶意文件上传到目标服务器上。恶意攻击者通过访问上传的恶意文件进行Getshell,从而达到接管服务器权限、执行任意代码的目的。
畅捷通T+ < = 17.X
高危
用户可参考以下建议:
已中毒用户:
1、本地服务器先断网,若各类本地数据文件未备份,建议找相关专业人员,查找是否有备份和其他恢复手段;
2、若使用自有云服务器,可以先通过后台,将本台服务器进行镜像备份,再找相关专业人员,查找是否有备份和其他恢复手段;
3、检查SQL数据库文件是否被加密,如果没有被加密,请尽快备份SQL数据
对于部分中毒的用户,根据技术人员的排查,发现有一些数据可以直接恢复,建议大家按照如下方式排查:
1、查看产品安装目录下(Chanjet\TPlusStd\DBServer\data)备份文件(zip文件)有些没有locked成功,虽然有.locked文件,但是大小1k,说明没有成功。应该会同时存在原始文件,这些是可以使用的。
2、mdf文件是否被locked,如果没有被locked,用sqlserver备份出文件来,找新环境重新系统安装产品建账,把备份文件恢复回去来恢复。不会恢复处理的,可以通过企业微信或者服务热线联系官方客服协助恢复。
未中毒用户:
1、尽快使用安全月活动工具,进行检测加固;
2、使用本地服务器的用户,建议关闭公网访问,内网使用;
3、使用自购云主机的用户,请马上打开日常镜像备份,购买云服务器提供的安全防护服务
4、最最最重要的是!!!!请尽快进行数据备份,并且是多重备份,重要数据文件拷贝至U盘\上传到网盘\多份储存在不同的服务器环境中
目前官方已发布最新版本以及漏洞修复补丁。下载链接:https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.209版本支持对该漏洞的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。新华三AV规则库将在1.0.172版本支持相关后门的检测。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。