金蝶云星空远程代码执行漏洞
基本信息
- 预警日期:2023-6-16
- 预警文章链接: https://mp.weixin.qq.com/s/9EozRYRHEaG7Fas7F28ofQ
漏洞描述
该漏洞是由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。
长亭应急响应实验室深入研究后发现,该漏洞不仅存在于金蝶云星空管理中心(默认8000端口),普通应用(默认80端口)也存在类似问题。
检测工具
X-POC远程检测工具
检测方法:
xpoc -r 104 -t 目标URL
工具获取方式:
https://github.com/chaitin/xpoc
https://stack.chaitin.com/tool/detail?id=1036
牧云本地检测工具
检测方法:
在本地主机上执行以下命令即可无害化扫描:
kingdee_cloud_galaxy_rce_scanner_windows_amd64.exe scan --output result.json
工具获取方式:
https://stack.chaitin.com/tool/detail?id=1186
影响范围
- 6.x版本:低于6.2.1012.4
- 7.x版本:7.0.352.16 至 7.7.0.202111
- 8.x版本:8.0.0.202205 至 8.1.0.20221110
解决方案
临时缓解方案
8.x版本可通过手动添加安全配置并重启IIS的方式进行缓解,注意管理中心与普通应用配置文件均需添加:
# 普通应用配置:{WebROOT}\Kingdee\K3Cloud\WebSite\App_Data\Common.config
# 管理中心配置:{WebROOT}\Kingdee\K3Cloud\Services\ManagementService\App_Data\Common.config
EnabledKDSVCBinary = false由于该漏洞不仅影响管理中心(默认8000端口),也影响普通应用(默认80端口)。如果其它版本通过限制访问来源临时缓解漏洞,需要考虑是否会中断普通用户Web业务。
升级修复方案
- 7.x版本必须先安装全量补丁(修复代码)后安装临时补丁(添加安全配置)
- 8.x版本管理中心(默认8000端口)默认不对外开放,且包含修复代码。但是直接安装临时补丁可能会失败,所以依旧建议先安装全量补丁(修复代码)后安装临时补丁(添加安全配置)。
验证补丁是否安装成功修复漏洞,可先按照顺序安装补丁,再使用牧云本地检测工具进行验证。
长亭支持检测产品
| 产品名称 | 支持说明 | 版本 | 下载链接 |
| 雷池 | 默认不支持检测,建议添加自定义规则拦截路径。 | ||
| 谛听 | |||
| 洞鉴 | 支持以自定义PoC的形式进行检测,已发布自定义PoC。 | yaml-poc-kingdee-erp-deserialization-CT-763698 | https://bbs.chaitin.cn/kb/487 |
| 牧云 | 使用管理平台 23.05.001 及以上版本的用户可通过升级平台下载应急漏洞情报库升级包(EMERVULN-23.06.008)在“漏洞应急”功能中支持该漏洞的检测;其它管理平台版本暂不支持该漏洞检测。 | EMERVULN-23.06.008 | https://bbs.chaitin.cn/kb/488 |
| 全悉 | 已发布升级包,支持该漏洞利用行为的检测。 | ||
| 云图 | 默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。 |
产品受影响及处置方案
| 产品名称 | 受影响说明 | 应急处置方法 | 正式处置方法 |
| 雷池 | 无 | ||
| 谛听 | 无 | ||
| 牧云 | 无 | ||
| 洞鉴 | 无 | ||
| 万象 | 无 |
