主要观点总结
本文是关于泛微 e-cology 远程代码执行漏洞的预警,包括多个版本的漏洞描述和攻击者的相关信息。
关键观点总结
关键观点1: 泛微 e-cology 远程代码执行漏洞概述
本文介绍了泛微 e-cology-10.0 版本存在的远程代码执行漏洞,攻击者可利用该漏洞获取管理员令牌,借助 JDBC 反序列化漏洞实现远程代码执行。
关键观点2: 漏洞详解
详细描述了获取管理员身份和远程代码执行的具体步骤和方式,包括通过特定接口传入信息获取票据、加载数据库驱动类、执行任意 Java 代码等。
关键观点3: 影响范围
该漏洞仅限于泛微 e-cology 10.0 版本。
关键观点4: 临时措施
建议用户对系统进行排查,封闭风险接口,设置访问白名单,限制登录 IP,在 WAF 中拦截相关接口等。
关键观点5: 攻击者信息
描述了攻击者的IP地址、恶意文件、威胁等级、最近活跃时间、地理位置和活跃行业等。攻击者似乎对交通运输和能源行业有特定兴趣,并使用Nmap、ARL资产侦察灯塔系统等工具进行攻击。
关键观点6: 故事吃瓜
描述了一些与攻击相关的故事和趣事,如黑客炫技、反向钓鱼等。
文章预览
零day预警 【漏洞预警】泛微 e-cology 远程代码执行漏洞 一、漏洞概述 泛微 e-cology-10.0 存在远程代码执行漏洞,攻击者可利用其前台获取管理员令牌,借助 JDBC 反序列化漏洞实现远程代码执行。 二、漏洞详解 获取管理员身份:通过 e-cology-10.0 的 /papi/passport/rest/appThirdLogin 接口传入管理员账号信息获取票据,进而获取 ETEAMSID,获得 sysadmin 管理员身份。 远程代码执行:系统依赖 H2 数据库且有 JDBC 反序列化漏洞,触发接口为 /api/dw/connSetting/testConnByBasePassword。需先通过 /api/bs/iaauthclient/base/save 接口加载 org.h2.Driver 数据库驱动类,利用管理员身份可执行任意 Java 代码实现远程代码执行。 三、影响范围 泛微 e-cology 10.0 版本。 四、临时措施 因 exp 已公开,若有互联网资产需进行失陷排查。可对 /papi/passport/rest/appThirdLogin?username=sysadmin 配置访问白名单并限制 sysad
………………………………
