脆弱性の概要
最近、エンタープライズ WeChat 民営化の歴史的バージョンにおけるバックエンド API の実行権限の脆弱性が発見され、攻撃者は特定のメッセージを送信することでアドレス帳情報とアプリケーションの権限を取得できます。脆弱性リスクのある API を通じて、https://cncso.com/cgi - bin/gateway/agentinfo インターフェイスは、企業の WeChat 秘密などの機密情報を許可なく直接取得する可能性があり、これにより、企業のすべての WeChat データの取得、ファイルの取得、フィッシング ファイルやリンクの送信のための企業の WeChat ライト アプリケーションの使用につながる可能性があります。企業内で。
2023 年 8 月 12 日、Tencent は緊急運用およびメンテナンス設定方法と、すべてのバージョンを修復するためのバックグラウンド セキュリティ パッチを提供し、影響を受けるユーザーはアップグレードされたバージョンまたはセキュリティ強化パッチを通じて脆弱性の修復を完了できます。
影響を受けるバージョン
| 商品名 | 影響を受けるバージョン |
| エンタープライズ WeChat 民営化展開 (政府 WeChat を含む) | 2.5.X バージョン 2.6.930000 |
このうち、バージョン 2.7.x、2.8.x、2.9.x は本脆弱性の影響を受けず、対応する必要はありません。
脆弱性の危険性:
攻撃者はこの脆弱性を悪用して、バックグラウンドのアドレス帳情報とアプリケーションの権限を取得する可能性があります。
https://cncso.com/cgi-bin/gateway/agentinfo にアクセスして、エンタープライズ ID とシークレットを取得してください。
公式エンタープライズ開発者 API を使用して脆弱性の悪用が可能
リスクと解決策
1. 公式計画:
セキュリティ ゲートウェイとアプリケーション プロキシなし、すべての論理マシン上
指定された API をインターセプトします。セキュリティ ゲートウェイとアプリケーション プロキシは、すべてのアクセス マシン上で指定された API をインターセプトし、バックグラウンド パッチ パッケージを更新するために使用されます。
影響を受ける廃棄計画の詳細については、オリジナルの Enterprise WeChat Wiki を参照してください。
https://tapd.tencent.com/WeWorkLocalDocu/markdown_wikis/show/#1220382282002540011
2.一時的な止血:
WAF に保護ルールを構成し、/cgi-bin/gateway/agentinfo パスに一致するルールをブロックします。
脆弱性リファレンス >>
https://stack.chaitin.com/vuldb/detail/746ba950-8bcb-4c2e-9704-b2338332e8f9
元記事、著者:最高セキュリティ責任者、転載する場合は出典を明記してください: https://cncso.com/jp/enterprise-wechat-api-interface-unauthorized-vulnerabilities.html
