臺灣知名軟體業者鼎新電腦,從去年3月開始被中國漏洞通報平臺烏雲(WooYun)有與該公司ERP產品整合度高的工作簽核產品EasyFlow GP,因為採用Java開發,遇到中介層產品的漏洞,加上普遍放在公司外網,使得使用相關產品的企業也面臨駭客入侵或被駭客遠端操控的風險。但鼎新電腦直到7月才成立漏洞專案小組提供顧客修補漏洞,超過1800家使用該產品的企業,除了1成企業能自行修補外,其餘超過8成企業,至少長達4個月期間,簽核系統暴露在高風險中。
鼎新電腦研發處副總裁胡興耀表示,從去年7月開始,該公司已經針對Java開發的產品,包括EasyFlow GP在內進行可能面臨的產品漏洞成立專案小組,經清查,有1,800家企業用戶使用包括EasyFlow GP在內的Java開發相關產品,到目前已經取得85%的客戶同意,由鼎新電腦同仁連線協助處理,10%的企業用戶決定自行處理,另外仍有5%的企業用戶,因為窗口異動或是公司整併,也可能是停業等因素,無法取得相關聯繫。在今年2月後,也再度啟動第二波客戶盤點。他強調,就算客戶沒有持續簽訂維護合約,仍會協助進行相關漏洞修補。
85%的客戶已經完成漏洞修補,目前啟動第二波的清查動作
胡興耀表示,從去年7月成立專案小組以來,經過盤點,該公司使用Java開發的企業用戶產品,包括:大部分放在外網的工作簽核產品EasyFlow GP及企業入口網站EIP,以及主要放在內網為主的廠區生產追蹤系統(Shop Floor Tracking,SFT)、在製品管制系統 (Work In Process Tracking , WIP)和eKB電子看板等5大產品,大概有1,800多家企業採用。
烏雲揭露的Java反序列化漏洞其實是中介層JBoss的漏洞,對企業帶來的風險包括:駭客可以做到執行任何一項指另外,也可以任意添加管理員帳號,同樣會影響其他臺主機的安全性,並可以讓伺服器取得執行系統指令權限(getshell)等等。
胡興耀指出,JBoss原廠已經進行修復的前提下,鼎新電腦相關客服與技術人員,在與客戶聯繫修補相關產品漏洞時,因為這次的漏洞修補只需要關掉原廠原本預設開放的通道,並不涉及企業內部的機敏資料或相關的產品設定,「頂多只要停機10分鐘左右就可以完成漏洞修補。」他說,所以,目前已經有85%的企業用戶同意,由鼎新電腦提供協助修補漏洞,另外有10%客戶決定自己修補漏洞,還有5%的客戶處於失聯狀態,正在進行第二波的清查。」
目前鼎新電腦客戶全部有5萬多家,鼎新電腦行業經營中心業務支援部顧問總監許權璽認為,因為使用Java開發產品而有可能面臨Java反序列化漏洞的企業用戶仍屬少數,而在和客戶聯繫的過程中,多數企業也都意識到,這是屬於中介廠商造成的產品漏洞,除了少數覺得該公司已經有很好的防護措施,決定自行處理外,企業針對相關漏洞修補的配合度很高;再加上,JBoss後續也修補漏洞,而在去年7月後鼎新電腦工作簽核流程推出的新版產品,也都已經關閉會造成資安漏洞的預設管道,產品也相對安全。
在聯繫客戶的過程中,胡興耀表示,該公司會提供給要自行修補相關漏洞的企業,包括鼎新電腦自行開發的漏洞修補工具以及操作影片,希望可以做到主動協助企業用戶修補漏洞。
不過,他也指出,關於這些預計自行修補,或者是一些剛好要升級主機而延後修補的企業,在聯繫過程中也發現,有部分企業以為已經完成修補,但鼎新電腦連線檢查時卻仍發現,常見有些企業目前沒有使用卻未下線的系統,便可能成為企業遭駭的潛在風險。所以,他說:「目前鼎新電腦也正在開發驗證工具,將會提供給決定自行修補漏洞的企業,希望這些企業可以回傳檢驗結果給鼎新電腦,確認漏洞已經修補完畢。」
有些人擔心,鼎新電腦會因為沒有簽訂後續的維護合約,而不願意協助相關產品的漏洞修補。胡興耀強調:「對鼎新電腦的客戶而言,只要是該公司產品出現資安漏洞,不論企業用戶是否有簽訂維護合約,都會協助企業進行產品漏洞修補。」畢竟,他認為,企業用戶可以在不升級產品下使用舊版產品功能,卻不能使用會對企業帶來風險的不安全產品。