臺灣鼎新電腦聲明：面臨Java反序列化漏洞有1,800家企業，已協助85％客戶連線修補漏洞

臺灣知名軟體業者鼎新電腦，從去年3月開始被中國漏洞通報平臺烏雲（WooYun）有與該公司ERP產品整合度高的工作簽核產品EasyFlow GP，因為採用Java開發，遇到中介層產品的漏洞，加上普遍放在公司外網，使得使用相關產品的企業也面臨駭客入侵或被駭客遠端操控的風險。但鼎新電腦直到7月才成立漏洞專案小組提供顧客修補漏洞，超過1800家使用該產品的企業，除了1成企業能自行修補外，其餘超過8成企業，至少長達4個月期間，簽核系統暴露在高風險中。 

鼎新電腦研發處副總裁胡興耀表示，從去年7月開始，該公司已經針對Java開發的產品，包括EasyFlow GP在內進行可能面臨的產品漏洞成立專案小組，經清查，有1,800家企業用戶使用包括EasyFlow GP在內的Java開發相關產品，到目前已經取得85％的客戶同意，由鼎新電腦同仁連線協助處理，10％的企業用戶決定自行處理，另外仍有5％的企業用戶，因為窗口異動或是公司整併，也可能是停業等因素，無法取得相關聯繫。在今年2月後，也再度啟動第二波客戶盤點。他強調，就算客戶沒有持續簽訂維護合約，仍會協助進行相關漏洞修補。

85％的客戶已經完成漏洞修補，目前啟動第二波的清查動作

胡興耀表示，從去年7月成立專案小組以來，經過盤點，該公司使用Java開發的企業用戶產品，包括：大部分放在外網的工作簽核產品EasyFlow GP及企業入口網站EIP，以及主要放在內網為主的廠區生產追蹤系統（Shop Floor Tracking，SFT）、在製品管制系統 （Work In Process Tracking , WIP）和eKB電子看板等5大產品，大概有1,800多家企業採用。

烏雲揭露的Java反序列化漏洞其實是中介層JBoss的漏洞，對企業帶來的風險包括：駭客可以做到執行任何一項指令外，也可以任意添加管理員帳號，同樣會影響其他臺主機的安全性，並可以讓伺服器取得執行系統指令權限（getshell）等等。

胡興耀指出，JBoss原廠已經進行修復的前提下，鼎新電腦相關客服與技術人員，在與客戶聯繫修補相關產品漏洞時，因為這次的漏洞修補只需要關掉原廠原本預設開放的通道，並不涉及企業內部的機敏資料或相關的產品設定，「頂多只要停機10分鐘左右就可以完成漏洞修補。」他說，所以，目前已經有85％的企業用戶同意，由鼎新電腦提供協助修補漏洞，另外有10％客戶決定自己修補漏洞，還有5％的客戶處於失聯狀態，正在進行第二波的清查。」

目前鼎新電腦客戶全部有5萬多家，鼎新電腦行業經營中心業務支援部顧問總監許權璽認為，因為使用Java開發產品而有可能面臨Java反序列化漏洞的企業用戶仍屬少數，而在和客戶聯繫的過程中，多數企業也都意識到，這是屬於中介廠商造成的產品漏洞，除了少數覺得該公司已經有很好的防護措施，決定自行處理外，企業針對相關漏洞修補的配合度很高；再加上，JBoss後續也修補漏洞，而在去年7月後鼎新電腦工作簽核流程推出的新版產品，也都已經關閉會造成資安漏洞的預設管道，產品也相對安全。

在聯繫客戶的過程中，胡興耀表示，該公司會提供給要自行修補相關漏洞的企業，包括鼎新電腦自行開發的漏洞修補工具以及操作影片，希望可以做到主動協助企業用戶修補漏洞。

不過，他也指出，關於這些預計自行修補，或者是一些剛好要升級主機而延後修補的企業，在聯繫過程中也發現，有部分企業以為已經完成修補，但鼎新電腦連線檢查時卻仍發現，常見有些企業目前沒有使用卻未下線的系統，便可能成為企業遭駭的潛在風險。所以，他說：「目前鼎新電腦也正在開發驗證工具，將會提供給決定自行修補漏洞的企業，希望這些企業可以回傳檢驗結果給鼎新電腦，確認漏洞已經修補完畢。」

有些人擔心，鼎新電腦會因為沒有簽訂後續的維護合約，而不願意協助相關產品的漏洞修補。胡興耀強調：「對鼎新電腦的客戶而言，只要是該公司產品出現資安漏洞，不論企業用戶是否有簽訂維護合約，都會協助企業進行產品漏洞修補。」畢竟，他認為，企業用戶可以在不升級產品下使用舊版產品功能，卻不能使用會對企業帶來風險的不安全產品。