近日，经安全人员监测，某国产办公软件漏洞(QVD-2024-11354)已在互联网上公开，攻击者可在未经身份验证的情况下，远程上传伪装的恶意PHAR文件到服务器，从而在目标服务器上执行任意代码，造成数据泄露、系统瘫痪、数据篡改等严重问题。

　　据国内某安全资产测绘平台监测显示，受影响严重的省份地区分布在北京、广东、浙江、江苏、福建、山东、四川、贵州等省，关联的国内风险资产总数为7万多个，关联IP总数为8千多个。目前该漏洞已在互联网上公开，鉴于该漏洞影响范围较大，企业某国产化办公软件容易被利用，一旦发生攻击事件损失将不可估量。因此，企业应强化自身可信安全和管理的能力，最大程度的保护数字资产安全。

　　漏洞危害

　　本次远程代码执行漏洞(QVD-2024-11354)产生的原因在于系统处理上传的PHAR文件时存在缺陷，未经身份验证的远程攻击者能够上传伪装的恶意PHAR文件到服务器，从而在目标服务器上执行任意代码。

　　PHAR文件全称为PHP Archive，是一种用于打包和分发PHP应用程序和库的归档文件格式。它允许开发者将所有的PHP脚本、依赖文件和元数据打包到一个单独的文件中，从而简化了PHP应用程序的部署和分发过程。当PHAR文件被PHP运行时环境加载时，它将执行反序列化过程，将PHAR文件中的压缩数据解压缩并恢复为原始的PHP文件和目录结构。反序列化过程中，PHP会读取PHAR文件的索引区，找到并执行特定的引导脚本（如“index.php”），从而启动应用程序。

　　攻击者可以利用该漏洞来执行恶意代码，通过输入恶意构造的指令或数据，使得系统攻击者可以执行指定的代码，从而控制整个系统。该漏洞的范围比较广，例如代码执行、PHP文件包含、反序列化、命令执行、文件读写；易造成企业及用户数字资产的损失，影响恶劣。

　　漏洞危害主要包括：

　　1.恶意提权：获得对设备的访问权并执行命令，攻击者可获得更大的权限并控制设备。

　　2.数据泄漏：利用漏洞，攻击者可以访问和窃取存储在设备上的数据。

　　3.拒绝服务：攻击者可以通过执行特定的命令来中断设备上正常业务软件的运行，从而达到破坏系统的目的。

　　4.勒索攻击：可以在设备上实施勒索攻击，造成数据资产损失。

　　防护建议

　　高鸿股份旗下高鸿信安“基于可信计算的主动免疫防护、可信身份验证机制”可对软件全生命周期进行可信防护，同时由可信安全管理中心进行统一管理，帮助企业打造全方位的可信安全体系。

　　设备端防护：对用户终端、版本服务器、发布服务器、用户业务服务器进行可信计算主动免疫防护、可信身份验证机制。

　　可信安全管理中心：具备可信集中管控、可信身份认证、软件可信管理功能。

　　3.1 设备端防护

　　3.1.1 基于可信计算的主动免疫防护

　　通过可信计算的主动免疫防护，可以有效防御未认证的程序的执行，从而阻止攻击者上传到设备的恶意程序的执行，构建主动免疫的可信安全环境。

　　1. 程序文件可信验证

　　程序文件可信验证功能对上游设备身份、程序文件签名信息等进行验证，仅允许认证通过的程序进行归档、发布、部署或执行。

　　2. 合法应用不被关闭

　　可信计算防护合法应用不被恶意关闭，杜绝因漏洞引起系统瘫痪问题。

　　3. 防数据泄露、防勒索

　　可信计算主动免疫机制，确保只有合法的应用程序才可执行，违法程序无法执行、无法访问受保护的资源，杜绝勒索攻击、数据泄露。

　　3.1.2 可信身份验证机制

　　可信身份包括设备标识、人员标识、设备运行状态、设备安全基线等。基于可信身份，用户终端、版本服务器、发布服务器、用户业务服务器在正常请求（接入认证、程序文件提交、上传、发布、部署）过程中由可信安全管理中心进行身份认证，通过认证结果进行管控，使攻击者无法通过身份冒用的方式进行非法操作。

　　3.2 可信安全管理中心

　　3.2.1 可信集中管控

　　完成对可信设备进行集中管控的功能，包括可信策略集中管控、可信状态集中监控、可信告警及审计分析等功能。

　　3.2.2 可信身份认证

　　对受管控可信设备进行统一身份管理，包括基于设备标识、人员标识、设备运行状态、设备安全基线等信息的认证及管理等功能。

　　3.2.3 软件可信管理

　　对程序文件进行可信管理，包括程序文件的签名、签名信息存储统一管理等功能。

　　总结

　　高鸿信安可信计算的主动免疫、可信身份验证机制、统一可信安全管理的防护可为软件全生命周期保驾护航。企业不需频繁更新病毒库，就能有效防护此类漏洞，用“以不变应万变”的方式，创建企业软件全生命周期安全可信的防护体系。