漏洞概述
近期发现一个企业微信私有化历史版本的后台 API 执行权限漏洞,攻击者可以通过发送特定报文, 获取通信录信息和应用权限,通过存在漏洞风险的API,https://cncso.com/cgi-bin/gateway/agentinfo接口未授权可直接获取企业微信secret等敏感信息,可导致企业微信全量数据被获取,文件获取、使用企业微信轻应用对企业内部发送钓鱼文件和链接等。
腾讯2023年8月12日提供了紧急运维配置方法和后台安全补丁对所有版本进行了修复,受 影响用户可通过升级版本或者安全加固补丁完成对漏洞的修复。
受影响版本
| 产品名称 | 受影响版本 |
| 企业微信私有化部署(含政务微信) | 2.5.X版本2.6.930000 |
其中2.7.x 、2.8.x、2.9.x版本不受该漏洞影响,无需处理。
漏洞危害:
攻击者可利用该漏洞获取后台通讯录信息和应用权限。
只需访问https://cncso.com/cgi-bin/gateway/agentinfo可获取企业id和Secret 。
利用官方企业开发者api即可实现漏洞利用
风险和处置方案
1、官方方案:
未使用安全网关和应用代理的,在所有逻辑机
上拦截指定API。有在使用安全网关和应用代理,在所有接入机 上拦截指定 API,并更新后台补丁包。
受影响处置方案详见企业微信原厂Wiki
https://tapd.tencent.com/WeWorkLocalDocu/markdown_wikis/show/#1220382282002540011
2、临时止血:
通过waf上配置防护规则,匹配到/cgi-bin/gateway/agentinfo路径的进行阻断。
漏洞参考>>
https://stack.chaitin.com/vuldb/detail/746ba950-8bcb-4c2e-9704-b2338332e8f9
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/enterprise-wechat-api-interface-unauthorized-vulnerabilities.html
