畅捷通 T+远程代码执行漏洞安全风险通告

安全通告

近日，红客联盟监测到畅捷通 T+ 远程代码执行漏洞，在特定配置环境下，远程未经身份认证的攻击者可通过特定的参数在接口上传恶意文件从而执行任意命令。目前，此漏洞已被攻击者利用来进行勒索软件攻击，官方已发布针对此漏洞的补丁程序，鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

漏洞名称	畅捷通 T+ 远程代码执行漏洞
公开时间	2022-08-29	更新时间	2022-08-30
CVE编号	暂无	其他编号	QVD-2022-13942
威胁类型	代码执行	技术类型	文件上传
厂商	畅捷通	产品	畅捷通 T+
风险等级
风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未发现	未发现	已发现	未公开
漏洞描述	畅捷通 T+ 远程代码执行漏洞，在特定配置环境下，远程未经身份认证的攻击者可通过特定的参数在接口上传恶意文件从而执行任意命令。
影响版本	畅捷通T+ <= v17.0
其他受影响组件	无

威胁评估

漏洞名称	畅捷通 T+ 远程代码执行漏洞
CVE编号	暂无	其他编号		QVD-2022-13942
CVSS 3.1评级	高危	CVSS 3.1分数		9.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	不需要		不需要
	影响范围（S）		机密性影响（C）
	未改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	在特定配置环境下，远程未经身份认证的攻击者可通过特定的参数在接口上传恶意文件从而执行任意命令。

处置建议

目前，官方已发布针对此漏洞的补丁程序，用户可参考以下链接及时更新官方补丁：

https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5

另外，官方给出了已中毒用户、未中毒用户以及部分中毒用户的应急建议，用户可参考以下建议采取措施：

常见中毒形式为计算机内的各类文件被加上.locked后缀无法使用。

已中毒用户：
1、本地服务器先断网，若各类本地数据文件未备份，建议找相关专业人员，查找是否有备份和其他恢复手段；2、若使用自有云服务器，可以先通过后台，将本台服务器进行镜像备份，再找相关专业人员，查找是否有备份和其他恢复手段；3、检查SQL数据库文件是否被加密，如果没有被加密，请尽快备份SQL数据

对于部分中毒的用户，根据技术人员的排查，发现有一些数据可以直接恢复，建议大家按照如下方式排查：
1、查看产品安装目录下（Chanjet\TPlusStd\DBServer\data）备份文件（zip文件）有些没有locked成功，虽然有.locked文件，但是大小1k，说明没有成功。应该会同时存在原始文件，这些是可以使用的。2、mdf文件是否被locked，如果没有被locked，用sqlserver备份出文件来，找新环境重新系统安装产品建账，把备份文件恢复回去来恢复。不会恢复处理的，可以通过企业微信或者服务热线联系官方客服协助恢复。

未中毒用户：
1、尽快使用安全月活动工具，进行检测加固；2、使用本地服务器的用户，建议关闭公网访问，内网使用；3、使用自购云主机的用户，请马上打开日常镜像备份，购买云服务器提供的安全防护服务4、最最最重要的是！！！！请尽快进行数据备份，并且是多重备份，重要数据文件拷贝至U盘\上传到网盘\多份储存在不同的服务器环境中。