1.  漏洞公告
近日，市委網(wǎng)信辦技術(shù)支撐單位監(jiān)測(cè)到通達(dá)OA在官方論壇發(fā)布了緊急通知，提供了針對(duì)部分用戶(hù)反饋遭到勒索病毒攻擊的安全加固程序，補(bǔ)丁更新包括2013版、2013增強(qiáng)版、2015版、2016版、2017版、V11版本等，相關(guān)鏈接參考：http://club.tongda2000.com/forum.php?mod=viewthread&tid=128377&extra=page%3D1

根據(jù)公告，遭受攻擊的OA服務(wù)器首頁(yè)被惡意篡改，偽裝成OA系統(tǒng)錯(cuò)誤提示頁(yè)面讓用戶(hù)下載安裝插件，同時(shí)服務(wù)器上文件被勒索病毒重命名加密，相關(guān)鏈接：
http://club.tongda2000.com/forum.php?mod=viewthread&tid=128372&extra=page%3D1

論壇中有多個(gè)用戶(hù)反饋中招（具體現(xiàn)象為：主頁(yè)被篡改、站點(diǎn)文件擴(kuò)展名被修改、并生成一個(gè)勒索提示文本文件。），論壇地址：
http://club.tongda2000.com/forum.php?mod=viewthread&tid=128367&extra=page%3D1

2.  影響范圍
官方提供了以下可能受到影響的版本的補(bǔ)?。?013版、2013增強(qiáng)版、2015版、2016版、2017版、V11版本下載地址：
V11版：http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe
2017版：http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe
2016版：http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe
2015版：http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe
2013增強(qiáng)版：http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe
2013版：http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe

根據(jù)已知的惡意攻擊風(fēng)險(xiǎn)，建議盡快測(cè)試更新補(bǔ)?。ㄍ瑫r(shí)也需要關(guān)注歷史補(bǔ)?。浞莺脭?shù)據(jù)，如網(wǎng)絡(luò)條件允許，OA系統(tǒng)不要直接暴露在互聯(lián)網(wǎng)上。

3.  漏洞描述
市委網(wǎng)信辦技術(shù)支撐單位對(duì)補(bǔ)丁進(jìn)行了分析，結(jié)合論壇用戶(hù)的反饋，發(fā)現(xiàn)勒索病毒可能通過(guò)文件上傳漏洞植入，測(cè)試在11.3的版本中通過(guò)文件上傳漏洞結(jié)合文件包含接口，惡意攻擊者可以成功上傳Webshell后門(mén)，并進(jìn)一步釋放勒索病毒，進(jìn)程默認(rèn)由System權(quán)限啟動(dòng)，危害較大，建議盡快測(cè)試更新補(bǔ)丁，并備份好數(shù)據(jù)，如網(wǎng)絡(luò)條件允許，OA系統(tǒng)不要直接暴露在互聯(lián)網(wǎng)上，可以考慮通過(guò)VPN方式內(nèi)網(wǎng)訪(fǎng)問(wèn)。

4.  緩解措施
緊急：目前漏洞利用已經(jīng)出現(xiàn)，雖然漏洞細(xì)節(jié)和利用代碼暫未公開(kāi)，但可以通過(guò)補(bǔ)丁對(duì)比方式定位漏洞觸發(fā)點(diǎn)并開(kāi)發(fā)漏洞利用代碼，建議及時(shí)測(cè)試更新補(bǔ)丁，并做好數(shù)據(jù)備份。

如果已經(jīng)被攻擊出現(xiàn)提示下載插件的頁(yè)面請(qǐng)一定不要點(diǎn)擊下載，請(qǐng)及時(shí)聯(lián)系通達(dá)官方幫恢復(fù)備份數(shù)據(jù)。

5.  應(yīng)急響應(yīng)
如出現(xiàn)攻擊或感染病毒現(xiàn)象，請(qǐng)及時(shí)聯(lián)系靈狐科技，我們專(zhuān)業(yè)高效的技術(shù)支撐和應(yīng)急響應(yīng)能力，確保業(yè)主單位網(wǎng)絡(luò)安全。