【安全风险通告】通达OA SQL注入漏洞安全风险通告

近日，奇安信补天漏洞响应平台收到通达OA SQL注入漏洞。该漏洞源于通达OA某个服务接口，允许攻击者构造请求包对其进行注入。目前，漏洞相关细节尚未公开，补天漏洞响应平台已报送厂商，建议联系厂商获取最新补丁。

奇安信 CERT

漏洞描述

通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品，涵盖了个人事务、行政办公、流程审批、知识管理、人力资源管理、组织机构管理等企业信息化管理功能。2015年，通达云OA入驻阿里云企业应用专区，已为众多中小企业提供了稳定、可靠、强悍的云计算支撑。

近日，奇安信补天漏洞响应平台收到通达OA 最新版本SQL注入漏洞，该漏洞存在于某个服务接口，可利用精心构造的请求包进行SQL注入。虽然该系统对危险字符和关键字进行了校验判断，但仍然可被绕过，攻击者可利用该漏洞获取服务器敏感信息。建议各单位自查，并联系厂商尽快升级至修复版本。

风险等级

奇安信 CERT风险评级为：高危

风险等级：蓝色（一般事件）

影响范围

仅测试通达OA 11.0版（更新于 2019-11-28 20:35）。

处置建议

建议联系厂商尽快升级至修复版本或采用奇安信产品线解决方案。

产品线解决方案

360网神天堤防火墙产品防护方案:

360新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 1911292050” 及以上版本并启用规则ID: 5432进行检测。

奇安信天眼产品解决方案:

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.1129. 11496及以上版本。规则名称：通达OA SQL注入漏洞，规则ID：0x1002076F。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案:

奇安信网神网络数据传感器（NDS3000/5000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：5432，建议用户尽快升级检测规则库至1911292050以上版本并启用该检测规则。

360网神虚拟化安全管理平台已更新入侵防御规则库:

360 网神虚拟化安全管理平台无代理版本可通过更新入侵防御规则库10209版本，支持对通达OA sql注入漏洞的防护，请用户联系技术支持人员获取规则升级包对虚拟化产品无代理版本进行升级。

奇安信网站应用安全云防护系统已更新防护特征库:

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持通达OA SQL注入漏洞的防护。

参考资料

http://www.tongda2000.com/download/2019.php?F=&K=

时间线

2019年11月29日，奇安信 CERT监测到此漏洞

2019年11月30日，奇安信 CERT发布此漏洞的安全风险通告

原文始发于微信公众号（奇安信 CERT）：【安全风险通告】通达OA SQL注入漏洞安全风险通告