一、漏洞詳情

用友暢捷通 T+是一款互聯(lián)網(wǎng)企業(yè)管理軟件，主要針對(duì)財(cái)務(wù)業(yè)務(wù)一體化應(yīng)用，融入了社交化、移動(dòng)化、物聯(lián)網(wǎng)、電子商務(wù)、互聯(lián)網(wǎng)信息訂閱等元素。

用友暢捷通官方于8月30日發(fā)布了安全更新補(bǔ)丁，修復(fù)了用友暢捷通T+任意文件上傳漏洞，該漏洞源于某接口存在未授權(quán)訪(fǎng)問(wèn)，惡意攻擊者可以通過(guò)構(gòu)造惡意請(qǐng)求上傳任意文件，成功利用此漏洞的攻擊者可執(zhí)行任意代碼，從而控制服務(wù)器。目前，此漏洞已被攻擊者利用來(lái)進(jìn)行勒索軟件攻擊。

建議受影響用戶(hù)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

二、影響范圍

暢捷通 T+ <= v17.0

三、修復(fù)建議

官方建議：

1、目前官方已更新補(bǔ)丁，建議受影響的用戶(hù)下載相關(guān)補(bǔ)丁進(jìn)行修復(fù)。

下載鏈接：https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5

2、對(duì)于已中毒用戶(hù)、部分中毒的用戶(hù)和未中毒用戶(hù)官方給出以下建議，建議受影響的用戶(hù)及時(shí)測(cè)試，進(jìn)行修復(fù)。

常見(jiàn)中毒形式為計(jì)算機(jī)內(nèi)的各類(lèi)文件被加上.locked后綴無(wú)法使用。

已中毒用戶(hù)：

（1）本地服務(wù)器先斷網(wǎng)，若各類(lèi)本地?cái)?shù)據(jù)文件未備份，建議找相關(guān)專(zhuān)業(yè)人員，查找是否有備份和其他恢復(fù)手段；

（2）若使用自有云服務(wù)器，可以先通過(guò)后臺(tái)，將本臺(tái)服務(wù)器進(jìn)行鏡像備份，再找相關(guān)專(zhuān)業(yè)人員，查找是否有備份和其他恢復(fù)手段；

（3）檢查SQL數(shù)據(jù)庫(kù)文件是否被加密，如果沒(méi)有被加密，請(qǐng)盡快備份SQL數(shù)據(jù)。

對(duì)于部分中毒的用戶(hù)：

根據(jù)官方技術(shù)人員的排查，發(fā)現(xiàn)有一些數(shù)據(jù)可以直接恢復(fù)，建議大家按照如下方式排查：

（1）查看產(chǎn)品安裝目錄下（Chanjet\TPlusStd\DBServer\data）備份文件（zip文件）有些沒(méi)有l(wèi)ocked成功，雖然有.locked文件，但是大小1k，說(shuō)明沒(méi)有成功。應(yīng)該會(huì)同時(shí)存在原始文件，這些是可以使用的；

（2）mdf文件是否被locked，如果沒(méi)有被locked，用sqlserver備份出文件來(lái)，找新環(huán)境重新系統(tǒng)安裝產(chǎn)品建賬，把備份文件恢復(fù)回去來(lái)恢復(fù)。不會(huì)恢復(fù)處理的，可以通過(guò)企業(yè)微信或者服務(wù)熱線(xiàn)聯(lián)系官方客服協(xié)助恢復(fù)。

未中毒用戶(hù)：

（1）盡快使用安全月活動(dòng)工具，進(jìn)行檢測(cè)加固；

（2）使用本地服務(wù)器的用戶(hù)，建議關(guān)閉公網(wǎng)訪(fǎng)問(wèn)，內(nèi)網(wǎng)使用；

（3）使用自購(gòu)云主機(jī)的用戶(hù)，請(qǐng)打開(kāi)日常鏡像備份，購(gòu)買(mǎi)云服務(wù)器提供的安全防護(hù)服務(wù)；

（4）盡快進(jìn)行數(shù)據(jù)備份，并且是多重備份，重要數(shù)據(jù)文件拷貝至U盤(pán)\上傳到網(wǎng)盤(pán)\多份儲(chǔ)存在不同的服務(wù)器環(huán)境中。

參考鏈接：https://www.chanjetvip.com/a/1053502