天成醫療體系 繳費系統 git leak,內有木馬 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2025-00075
  •  發信 Vendor: 衛生福利部
  • Title: 天成醫療體系 繳費系統 git leak,內有木馬
  • Introduction: git leak,內有木馬

處理狀態

目前狀態

公開
Last Update : 2025/03/28
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2025/01/12 20:38:29 : 新提交 (由 萌新 更新此狀態)
  • 2025/01/12 20:46:33 : 新提交 (由 萌新 更新此狀態)
  • 2025/01/12 20:47:40 : 新提交 (由 萌新 更新此狀態)
  • 2025/01/12 20:54:41 : 新提交 (由 萌新 更新此狀態)
  • 2025/01/15 15:56:36 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/01/23 17:31:48 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/01/23 17:31:48 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/03/28 03:02:15 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2025-00075
  • 通報者:nhd1261 (萌新)
  • 風險:嚴重
  • 類型:疑似遭入侵 (Probably Hacked)

參考資料

伺服器遭到入侵,例如頁面遭植入惡意程式、後門頁面等。
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://med.tcbio.com.tw:8012/.git/config
https://med.tcbio.com.tw:8013/.git/config
https://med.tcbio.com.tw:8014/.git/config

敘述

內部系統git洩漏,且可以還原原始碼,內包含資料庫設定、證書、私鑰等重要檔案,回頭瀏覽網站發現網站權限沒設好,證書與私鑰訪問路徑後居然能直接下載,還有部分功能根本沒驗證有沒有登入。
之後在檢視git內檔案時,看到有一個奇怪的wwwx.php,檢視後發現是木馬,。
https://med.tcbio.com.tw:8012/.git/config
https://med.tcbio.com.tw:8013/.git/config
https://med.tcbio.com.tw:8014/.git/config
還有個8011 port的連不上,不知道是已經關閉還是什麼情況。

wwwx.php的內容:
圖片
解碼後發現是木馬,8012、8013、8014都有,如果8011還有在用也請檢查。
圖片
木馬應該是去年11月上傳的。
圖片

由於此系統關係到大量病人個資,建議盡快修復,並且這種內部系統應限制外網訪問。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;