这是一个创建于 797 天前的主题,其中的信息可能已经有所发展或是发生改变。
2022 年 8 月 29 日和 8 月 30 日,畅捷通公司紧急发布安全补丁修复了畅捷通 T+ 软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞,通过绕过系统鉴权,在特定配置环境下实现任意文件的上传,从而执行任意代码,获得服务器控制权限。目前,已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。
我们公司购买了一套畅捷通部署在了自己的服务器上,目前所有与畅捷通相关的文件已经被勒索病毒锁定,v 站有被影响到的小伙伴吗
我们公司购买了一套畅捷通部署在了自己的服务器上,目前所有与畅捷通相关的文件已经被勒索病毒锁定,v 站有被影响到的小伙伴吗
 |
1
dashupc 2022-09-05 13:55:19 +08:00
接到好几个想要恢复数据的,但是办不了
|
 |
2
thtznet 2022-09-05 13:59:33 +08:00  3
用友的问题,这种情况应该找用友公司索赔。国内的两家 ERP 厂商为了老的 C/S 平台的软件能继续割韭菜,强行利用 远程应用虚拟化软件将 C/S 转为 云应用,实际上只是 Remote APP ,且安全性基本没有,应用虚拟化软件都是第三方开发的。最愚蠢的是,国内的金蝶和用友都要求客户部署的服务器需要联网(时不时有个许可在线认证),愚蠢到极致,一个公司最重要的 ERP 服务器必须要求联网才能正常使用,简直无语。
|
 |
3
imnpc 2022-09-05 14:02:15 +08:00
数据没有备份的话 除了被勒索毫无办法
但是网安部门一般建议不要付款给勒索者 这样勒索犯罪会更多 |
 |
4
kokyang123 OP @thtznet 我们是为了给两地的财务人员同时用,账套开了不到 1 年,但是重新补录也是不小的工作量
|
|
5
thtznet 2022-09-05 14:08:06 +08:00 2
@kokyang123 如果你是正版用户,正常索赔就行了,补录的工作量该请人请人,人天结算,拿着发票上庭索赔就行了。这个事情中间作为用户你没有一点错误,该谁承担责任就谁承担,不然我付费买正版软件做啥?
|
 |
6
hayhong123 2022-09-05 14:51:13 +08:00
被加密了基本没有其他办法 号称解密的其实也都是黑产一条龙
|
 |
7
hiro0729 2022-09-05 15:34:08 +08:00
就是 java 那个 log4j 的漏洞吧,我们也中招了。。。。
|
 |
8
gearfox 2022-09-05 15:48:22 +08:00
畅捷通第二天出了个补丁,然后没下文了。。。
|
 |
9
lazyrm 2022-09-05 17:35:30 +08:00
是的 ,中招了
|
 |
10
fengjianxinghun 2022-09-05 17:49:29 +08:00
@thtznet 不愚蠢,实时在线才能在国内反盗版,不这么干只剩盗版
|
|
11
kokyang123 OP |
 |
12
NewYear 2022-09-05 20:21:23 +08:00
用友的致远 OA 也是频繁有安全漏洞,还不能自动升级,或者一键升级修补,人都麻了,生怕哪天就中招了。
对于这种 web 端,还要映射到外网供任何人在任何地方连接的,太恐怖了。 |
 |
13
javashell 2022-09-05 21:50:04 +08:00
漏洞简单到令人发指,就是绕过认证+任意文件上传 估计早就有相关利用了,只是最近才被利用到黑产上。
备份才是王道 |
|
14
thtznet 2022-09-05 23:19:37 +08:00
@fengjianxinghun 事实上,该盗还是盗版,防不了,盗版的预防只能通过业务模式的创新,靠技术去防盗版是没有前途的,例如 SAP 有盗版么?也许有,但是行业内很少听说吧,因为 SAP 的价值不在软件本身而在业务实施,这个东西它盗版不了。国内的 ERP 厂商营销思路还没转过来(但是他们心理清楚,只是很难调头)。
|
 |
15
aaa5838769 2022-09-05 23:29:57 +08:00
应该不止你们一家被黑,全国影响范围 10 万+。上安全产品吧,缩减你们公司的暴露面吧。
|
 |
16
mercury233 2022-09-05 23:52:17 +08:00
见过一个本地行业内流行的 ERP 是把 sa 密码简单变换后写到每台电脑的客户端的 ini 文件里,由客户端使用 sa 权限直连数据库
|
 |
17
xmh51 2022-09-05 23:59:17 +08:00
@mercury233 传统操作。。还有券商客户端这么干的。。
|
 |
18
sampeng 2022-09-06 08:42:29 +08:00
部署在自己服务器上,应该安全是自己负责。
套个 VPN 不麻烦吧?作为操作人员也就多一步操作。 |
|
19
thtznet 2022-09-06 11:08:39 +08:00
@sampeng 无法部署在自己服务器上的,这个架构设计成最终用户是连厂商的服务器(公网),然后厂商的服务器会和你买的部署在自己服务器的 ERP 软件有个保持连接的通道,最终用户通过厂商的服务器连接跳转获取你自己内网 ERP 服务器上的数据。想出这种方案的人的确是有商业头脑的,把客户绑得死死的,你想脱离厂商自己搞都不行,必须每年交钱,号称云服务。但是实际的 ERP 数据确是在你内网的服务器上的,对厂商来说又省去了资源消耗最大的计算环节。鬼才啊。但是对客户来说是什么呢?客户的 ERP 服务器相当于永久开着一个内网穿透代理给 ERP 厂商,客户的网络防火墙做得再完善也挡不住这种架构的入侵。
|
|
20
kokyang123 OP 吐槽一下。打电话给畅捷通客服统一口径,都是客户的原因,我们的软件很安全,因为我们自己云上的用户没有影响
这次攻击是无差别攻击等等。 哎, 感觉以后针对行业软件的攻击应该少不了,留个坑。 |
|
22
sampeng 2022-09-07 11:14:32 +08:00
@kokyang123 还是要对这些软件的架构方案进行内部安全评审才行。
|
|
23
thtznet 2022-09-07 13:44:02 +08:00
@kokyang123 混合云就这点毛病,出了事,都说自己没问题。该认清现实了,国内的软件厂商靠不住的,要么所有走公有云,出问题,对方赖都赖不掉,全托管的。要么就全部私有云,自己内网部署,不要和任何互联网沾上边,风险自控。不要考虑金蝶用友那种不伦不类的玩法。
|
Select Language