如何识别和缓解Mobile Device Manager Plus中的“远程执行代码”漏洞？

介绍

在92297以下的Mobile Device Manager Plus内部版本包含一个远程执行代码漏洞，该漏洞可能允许恶意用户在MDM中执行未经身份验证的任意代码执行。本文档介绍了确定安装是否受到威胁以及如何缓解此漏洞的步骤。如果您使用的版本高于92297，则无法利用此漏洞，但是建议您升级到最新版本的92763，以进一步加强安全性。您可以在此处下载最新版本。

隔离移动设备管理器加服务器。

首先，直接访问Mobile Device Manager Plus服务器。如果是物理服务器，请直接登录到计算机。确保您完全断开计算机与网络的连接，从而防止从网络远程访问服务器。

如何确定我的安装是否受到威胁？ 

以下两种方法可以帮助您识别网络中任何计算机上是否存在RCE漏洞：

1. 如果在\ ManageEngine \ MDMP_Server \ webapps \ DesktopCentral \ _chart文件夹下有一个具有上述任何名称的文件（logger.txt，logger.zip，mdmlogs.zip，managedprofile_mdmlogs.zip），则说明您的安装已受到威胁。
2. 如果 此路径“ C：\ Users \ Public \”中存在文件  install.bat，则您的系统已受到威胁。 

如果我的机器受损，该怎么办？

1. 如果文件夹\ ManageEngine \ MDMP_Server \ webapps \ DesktopCentral \ _chart下存在这些文件中的任何一个（logger.txt，logger.zip，mdmlogs.zip，managedprofile_mdmlogs.zip），请遵循以下步骤应用此修复程序： 
   • 断开计算机与网络的连接。 
   • 复制在2020年3月5日或之前执行的计划备份（DBbackup），并将其移至另一台计算机。 
   • 复制备份后，格式化受感染的计算机。 
   • 从此链接安装Mobile Device Manager Plus EXE 。（注意：新EXE的生成版本应与备份的生成版本相同）。  
   • 恢复备份，然后启动服务器。强烈建议对新安装使用其他硬件设置。
   • 服务器启动并运行后，  升级到最新版本92763。
2. 如果发现“ C：\ Users \ Public \ install.bat”，请按照以下提到的步骤进行缓解：
   • 断开计算机与网络的连接。 
   • 查找名称为“ StorSyncSvc”且显示名称为“ Storage Sync Service”的任何服务，然后立即禁用此服务。 
   • 添加防火墙规则，以阻止到IP地址66.42.98.220和74.82.201.8的入站和出站连接。 
   • 复制在2020年3月5日或之前执行的计划备份（DBbackup），并将其移至另一台计算机。 
   • 复制备份后，格式化受感染的计算机。 
   • 从此链接安装Mobile Device Manager Plus EXE 。（注意：新EXE的生成版本应与备份的生成版本相同）。 
   • 恢复备份，然后启动服务器。强烈建议对新安装使用其他硬件设置。
   • 服务器启动并运行后，  升级到最新版本92763。

万一我的机器没有受到威胁该怎么办？ 

如果执行识别步骤后未在网络中检测到漏洞，请升级到最新版本92763。如果在升级到最新版本时遇到任何困难，则可以按照下面给出的手动步骤操作，以确保无法在现有版本中利用此漏洞。

1. 从文件 web.xml中的路径 \ ManageEngine \ MDMP_Server \ webapps \ DesktopCentral \ WEB-INF \ web.xml中删除以下内容。
2. 删除此内容后，重新启动Mobile Device Manager Plus服务。

免责声明：按照上述步骤进行手动缓解后，Mobile Device Manager Plus用户将无法从移动设备上载日志。

向我们寻求任何帮助

如果您在识别或缓解此漏洞方面需要任何帮助，请联系support@manageengine.cn。