近日，監(jiān)測到暢捷通 T+ 遠程代碼執(zhí)行漏洞，未經身份認證的遠程攻擊者可通過某接口上傳惡意文件，從而執(zhí)行任意代碼。目前，此漏洞已被攻擊者利用來進行勒索軟件攻擊。鑒于此漏洞影響范圍較大，建議客戶盡快做好自查及防護。

漏洞信息

暢捷通 T+ 是一款基于互聯(lián)網的新型企業(yè)管理軟件，功能模塊包括：財務管理、采購管理、庫存管理等。主要針對中小型工貿和商貿企業(yè)的財務業(yè)務一體化應用，融入了社交化、移動化、物聯(lián)網、電子商務、互聯(lián)網信息訂閱等元素。

漏洞名稱	暢捷通 T+ 遠程代碼執(zhí)行漏洞
公開時間	2022-08-29	更新時間	2022-08-30
CVE編號		其他編號	QVD-2022-13942
威脅類型	代碼執(zhí)行	技術類型	文件上傳
廠商	暢捷通	產品	暢捷通 T+
風險等級
風險評級		風險等級
高危		藍色（一般事件）
現時威脅狀態(tài)
POC狀態(tài)	EXP狀態(tài)	在野利用狀態(tài)	技術細節(jié)狀態(tài)
未發(fā)現	未發(fā)現	已發(fā)現	未公開
漏洞描述	暢捷通 T+ 遠程代碼執(zhí)行漏洞，未經身份認證的遠程攻擊者可利用此漏洞上傳惡意文件到目標系統(tǒng)，從而執(zhí)行任意代碼。
影響版本	暢捷通T+ <= v17.0
其他受影響組件	無

威脅評估

漏洞名稱	暢捷通 T+ 遠程代碼執(zhí)行漏洞
CVE編號		其他編號		QVD-2022-13942
CVSS 3.1評級	高危	CVSS 3.1分數		9.8
CVSS向量	訪問途徑（AV）		攻擊復雜度（AC）
	網絡		低
	所需權限（PR）		用戶交互（UI）
	不需要		不需要
	影響范圍（S）		機密性影響（C）
	未改變		高
	完整性影響（I）		可用性影響（A）
	高		高
危害描述	未經身份認證的遠程攻擊者可利用此漏洞上傳惡意文件到目標系統(tǒng)，從而執(zhí)行任意代碼。

處置建議

目前，官方已發(fā)布針對此漏洞的補丁程序，用戶可參考以下鏈接及時更新官方補?。?/p>

https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5

另外，官方給出了已中毒用戶、未中毒用戶以及部分中毒用戶的應急建議，用戶可參考以下建議采取措施：

常見中毒形式為計算機內的各類文件被加上.locked后綴無法使用。

已中毒用戶：

1、本地服務器先斷網，若各類本地數據文件未備份，建議找相關專業(yè)人員，查找是否有備份和其他恢復手段；

2、若使用自有云服務器，可以先通過后臺，將本臺服務器進行鏡像備份，再找相關專業(yè)人員，查找是否有備份和其他恢復手段；

3、檢查SQL數據庫文件是否被加密，如果沒有被加密，請盡快備份SQL數據

對于部分中毒的用戶，根據技術人員的排查，發(fā)現有一些數據可以直接恢復，建議大家按照如下方式排查：

1、查看產品安裝目錄下（Chanjet\TPlusStd\DBServer\data）備份文件（zip文件）有些沒有l(wèi)ocked成功，雖然有.locked文件，但是大小1k，說明沒有成功。應該會同時存在原始文件，這些是可以使用的。

2、mdf文件是否被locked，如果沒有被locked，用sqlserver備份出文件來，找新環(huán)境重新系統(tǒng)安裝產品建賬，把備份文件恢復回去來恢復。不會恢復處理的，可以通過企業(yè)微信或者服務熱線聯(lián)系官方客服協(xié)助恢復。

未中毒用戶：

1、盡快使用安全月活動工具，進行檢測加固；

2、使用本地服務器的用戶，建議關閉公網訪問，內網使用；

3、使用自購云主機的用戶，請馬上打開日常鏡像備份，購買云服務器提供的安全防護服務

4、最最最重要的是?。。。≌埍M快進行數據備份，并且是多重備份，重要數據文件拷貝至U盤\上傳到網盤\多份儲存在不同的服務器環(huán)境中。