【漏洞預警】企業微信私有化版本API介面未授權漏洞

近期發現一個企業微信私有化歷史版本的後台API 執行權限漏洞,攻擊者可以透過發送特定封包, 取得通訊錄資訊和應用權限,透過存在漏洞風險的API,https://cncso.com/cgi- bin/gateway/agentinfo介面未授權可直接獲取企業微信secret等敏感訊息,可導致企業微信全量資料被獲取,文件獲取、使用企業微信輕應用對企業內部發送釣魚文件和連結等。

漏洞概述

近期發現一個企業微信私有化歷史版本的後台API 執行權限漏洞,攻擊者可以透過發送特定封包, 取得通訊錄資訊和應用權限,透過存在漏洞風險的API,https://cncso.com/cgi- bin/gateway/agentinfo介面未授權可直接獲取企業微信secret等敏感訊息,可導致企業微信全量資料被獲取,文件獲取、使用企業微信輕應用對企業內部發送釣魚文件和連結等。

【漏洞預警】企業微信私有化版本API介面未授權漏洞

腾讯2023年8月12日提供了紧急运维配置方法和后台安全补丁对所有版本进行了修复,受 影响用户可通过升级版本或者安全加固补丁完成对漏洞的修复。

受影响版本

产品名称  受影响版本
企业微信私有化部署(含政务微信)  2.5.X版本2.6.930000

 

其中2.7.x 、2.8.x、2.9.x版本不受该漏洞影响,无需处理。

漏洞危害:

攻击者可利用该漏洞获取后台通讯录信息和应用权限。

只需访问https://cncso.com/cgi-bin/gateway/agentinfo可获取企业id和Secret 。

【漏洞預警】企業微信私有化版本API介面未授權漏洞

利用官方企业开发者api即可实现漏洞利用

【漏洞預警】企業微信私有化版本API介面未授權漏洞

风险和处置方案

1、官方方案:

未使用安全网关和应用代理的,在所有逻辑机
上拦截指定API。有在使用安全网关和应用代理,在所有接入机 上拦截指定 API,并更新后台补丁包。

受影响处置方案详见企业微信原厂Wiki
https://tapd.tencent.com/WeWorkLocalDocu/markdown_wikis/show/#1220382282002540011

2、临时止血:

通过waf上配置防护规则,匹配到/cgi-bin/gateway/agentinfo路径的进行阻断。

漏洞参考>>

https://stack.chaitin.com/vuldb/detail/746ba950-8bcb-4c2e-9704-b2338332e8f9

原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/tw/enterprise-wechat-api-interface-unauthorized-vulnerabilities-html

讚! (0)
以前的 2023年8月3日上午12:00
下一個 2023年8月30日上午6:00