识别和缓解远程代码执行漏洞(2020年3月)

概述

远程代码执行(RCE)漏洞影响到部分Device Control Plus版本,允许执行未经身份验证的任意代码。本文档将介绍如何识别网络中是否存在该漏洞,以及识别后的防护措施。

隔离Device Control Plus服务器

首先,访问Device Control Plus服务器。如果是物理服务器,请直接登录。将机器与网络完全断开连接,确保远程网络无法访问。

如何识别Device Control Plus是否受到影响?

识别攻击者是否已利用RCE漏洞的方法有如下两种:

  1. 如果文件夹\ManageEngine\DeviceControlPlus_Server\webapps\DesktopCentral\_chart中存在如下文件,则表明Device Control Plus已受到影响:logger.txt、logger.zip、mdmlogs.zip和managedprofile_mdmlogs.zip
  2. 如果路径C:\Users\Public\install.bat下存在install.bat文件,则表明Device Control Plus已受到影响。

受到漏洞攻击后的解决方法?

  1. 如果是文件夹\ManageEngine\DeviceControlPlus_Server\webapps\DesktopCentral\_chart中存在文件logger.txt、logger.zip、mdmlogs.zip和managedprofile_mdmlogs.zip,解决方法如下:
    • 断开机器的网络连接
    • 复制2020年3月5日或之前的计划备份(数据库备份),并移动到其他机器上
    • 格式化受损机器
    • 安装Device Control Plus EXE。(注意:新EXE的构建版本应该与备份的构建版本相同。)单击这里获取适合您的EXE构建版本
    • 恢复备份,并启动服务器。强烈建议重新安装Device Control Plus时修改硬件设置
    • 服务器启动并运行后,升级到最新版本100356
  2. 如果是路径C:\Users\Public\install.bat下存在install.bat文件,解决方法如下:
  3. 断开机器的网络连接
  4. 找到所有服务名为“StorSyncSvc”,且显示名为“Storage Sync Service”的服务,并立即禁用
  5. 添加防火墙规则,阻止对IP地址66.42.98.220和74.82.201.8的入站和出站连接
  6. 复制2020年3月5日或之前的计划备份(数据库备份),并移动到其他机器上
  7. 格式化受损机器
  8. 安装Device Control Plus EXE。(注意:新EXE的构建版本应该与备份的构建版本相同。)单击这里获取适合您的EXE构建版本
  9. 恢复备份,并启动服务器。强烈建议重新安装Device Control Plus时修改硬件设置
  10. 服务器启动并运行后,升级到最新版本100356

如果机器尚未受到影响的应对措施?

如果网络中尚未检测到该漏洞,则升级到最新版本100356。如果在应用补丁的过程中遇到问题,可以按照如下步骤手动修复漏洞:

    • 从路径\ManageEngine\DeviceControlPlus_Server\webapps\DesktopCentral\WEB-INF\web.xml下的web.xml文件中删除如下内容:
    • <servlet-mapping>

      <servlet-name>MDMLogUploaderServlet</servlet-name>

      <url-pattern>/mdm/mdmLogUploader</url-pattern>

      <url-pattern>/mdm/client/v1/mdmLogUploader</url-pattern>

      </servlet-mapping>

       

      <servlet>

      <servlet-name>MDMLogUploaderServlet</servlet-name>

      <servlet-class>com.me.mdm.onpremise.webclient.log.MDMLogUploaderServlet</servlet-class>

      </servlet>

       

      <servlet-mapping>

      <servlet-name>CewolfServlet</servlet-name>

      <url-pattern>/cewolf/*</url-pattern>

      </servlet-mapping>

        

      <servlet>

      <servlet-name>CewolfServlet</servlet-name>

      <servlet-class>de.laures.cewolf.CewolfRenderer</servlet-class>

       

      <init-param>

      <param-name>debug</param-name>

      <param-value>false</param-value>

      </init-param>

      <init-param>

      <param-name>overliburl</param-name>

      <param-value>/js/overlib.js</param-value>

      </init-param>

      <init-param>

      <param-name>storage</param-name>

      <param-value>de.laures.cewolf.storage.FileStorage</param-value>

      </init-param>

       

      <load-on-startup>1</load-on-startup>

      </servlet>

    • 删除这些内容后,重新启动Device Control Plus服务。

注意:执行上述手动漏洞修复步骤后,Device Control Plus用户将无法从移动设备上传日志。

联系我们

如有任何疑问,请发送邮件到support@manageengine.cn,或拨打服务热线:400-660-8680。