风险概览
近期,多起针对阿里云客户的勒索攻击事件集中爆发:攻击者利用用友 U8 Cloud 高危漏洞,入侵企业核心系统,实施数据加密与勒索。
近期攻击案例
2025年9月,用友 U8 Cloud 被披露存在多个远程代码执行漏洞,攻击者可绕过限制,在服务器上执行任意系统命令(RCE)。目前,阿里云安全已监测到多起云上客户因上述漏洞遭到入侵事件,攻击者在获取控制权后迅速部署勒索软件,加密核心数据并索要赎金。
漏洞详情
1、U8 Cloud pubsmsservlet 反序列化漏洞
用友 U8 Cloud 的pubsmsservlet接口存在反序列化漏洞,未经认证的远程攻击者可以利用该接口发送恶意的序列化数据,实现任意代码执行操作,导致服务器失陷。
该漏洞影响版本:
- 2.0 2.1 2.3 2.5 2.6 2.7 2.65
- 3.0 3.1 3.2 3.5 3.6 3.6sp
- 5.0 5.0sp 5.1 5.1sp
2、NCCloudGatewayServlet 远程命令执行漏洞
用友 U8 Cloud 的 NCCloudGatewayServlet 接口存在严重设计缺陷:服务端未对用户传入的类名和方法名进行安全校验,攻击者可利用 Java 反射机制调用任意危险方法,从而在服务器上执行任意系统命令(RCE)。
该漏洞影响版本:
- 2.0 2.1 2.3 2.5 2.6 2.7 2.65
- 3.0 3.1 3.2 3.5 3.6 3.6sp
- 5.0 5.0sp 5.1 5.1sp
3、IPFxxFileService 任意文件上传漏洞
用友 U8 Cloud 的 IPFxxFileService 文件上传接口缺乏有效的文件类型与内容校验机制,攻击者可绕过限制上传 JSP、WAR 等可执行脚本文件,直接获取 Web 应用服务器的控制权限。
该漏洞影响版本:
- 2.0 2.1, 2.3 2.5 2.6 2.65 2.7
- 3.0 3.1 3.2 3.5 3.6
- 5.0 5.0sp 5.1 5.1sp
阿里云安全保障已针对云上客户的勒索风险进行识别和告警。建议客户在收到告警后,立即对重要文件进行备份,并及时排查和处置潜在安全风险。
安全解读
企业财务、ERP系统因其高权限、高数据价值,经常被攻击者列为重点目标。即便系统版本较新,一旦未能及时响应最新漏洞披露,仍可能在数小时内被攻陷。为有效防范此类风险,阿里云建议客户采取以下三项关键防护措施:
- 保持最新版本:及时修补已知的软件漏洞,避免被攻击者利用;
- 定期备份数据:开启 ECS 自动备份,在遭遇勒索攻击后快速恢复,最大限度减少业务中断;
- 加强安全防护:部署防病毒软件及防火墙,抵御黑客攻击。推荐领取ECS专属免费安全权益,防病毒版可自动拦截主流勒索病毒,显著降低安全风险。
