远程代码执行漏洞 CVE-2020-10189 的识别与缓解

部分版本的 Endpoint Central 包含一个 远程代码执行 (RCE) 漏洞 该漏洞最初由 Source Incite 的 Steven Seeley 报告。本文档将阐述如何识别您的网络中是否存在该漏洞，以及识别漏洞后应遵循的步骤。

 
注意：如果您已配置 ManageEngine 的 Secured Gateway 服务器，您可以放心您的设置是安全的。即使您发现以下任何受漏洞影响的文件（logger.txt、logger.zip、mdmlogs.zip、managedprofile_mdmlogs.zip）存在于文件夹 \ManageEngine\DesktopCentral_Server\webapps\DesktopCentral\_chart 下，系统/网络也不会被攻破。 

第一步：隔离机器

首先，直接访问 Endpoint Central 服务器。如果是物理服务器，请直接登录该机器。确保完全断开机器与网络的连接，防止远程访问。 

如何识别您的安装是否被攻破 

以下是两种识别网络机器是否被攻击者利用 RCE 漏洞的方法： 

1. 如果在以下文件夹下存在任何文件\ManageEngine\DesktopCentral_Server\webapps\DesktopCentral\_chart，则您的安装已被攻破： logger.txt、logger.zip、mdmlogs.zip、managedprofile_mdmlogs.zip.
2. 如果路径中存在文件 “C:\Users\Public\install.bat”，则您的系统已被攻破。 

如果我的机器被攻破了，我该怎么办？ 

1. 如果在文件夹 \ManageEngine\DesktopCentral_Server\webapps\DesktopCentral\_chart 下存在上述任一文件，请按照以下步骤进行修复：
   • 断开机器与网络的连接。
   • 复制一个2020年3月5日或之前的计划备份（dbbackup），并将此副本移动到另一台机器上。
   • 格式化被攻破的机器。
   • 安装 Endpoint Central EXE。 （注：新 EXE 的构建版本应与您备份的版本一致）。访问 此链接 获取适用于您的构建版本的 EXE。
   • 恢复备份，并启动服务器。强烈建议使用不同的硬件环境进行新安装。
   • 服务器启动并运行后，  升级至最新版本 10.0.479.
2. 如果发现 C:\Users\Public\install.bat，请按照以下缓解步骤操作：
   • 断开机器与网络的连接。
   • 查找名为“StorSyncSvc”，显示名称为“Storage Sync Service”的服务，并立即禁用该服务。
   • 添加防火墙规则，阻止对 IP 地址 3.0.19.24、193.169.255.102、171.25.193.78、23.227.206.166、66.42.98.220、91.208.184.78 和 74.82.201.8 的所有入站和出站连接。
   • 复制一个2020年3月5日或之前的计划备份（dbbackup），并将此副本移动到另一台机器上。
   • 格式化被攻破的机器。
   • 安装 Endpoint Central EXE。 （注：新 EXE 的构建版本应与您备份的版本一致）。访问 此链接 获取适用于您的构建版本的 EXE。
   • 恢复备份，并启动服务器。强烈建议使用不同的硬件环境进行新安装。
   • 服务器启动并运行后，  升级至最新版本 10.0.479.

如果我的机器没有 被攻破，我该怎么办？

升级至最新版本 10.0.479，如果您的网络中未检测到漏洞。如果您在应用补丁时遇到困难，可按照以下步骤手动修复漏洞。

1. 从文件中删除以下内容 web.xml 路径为 \ManageEngine\DesktopCentral_Server\webapps\DesktopCentral\WEB-INF\web.xml.

1. 删除上述内容后，重启 Endpoint Central 服务。

免责声明： 手动缓解上述步骤后，Endpoint Central 用户将无法从移动设备上传日志。

联系我们

如果您有任何其他问题，请发送电子邮件至 dc-zeroday@manageengine.com，或使用我们的免费电话 +1-888-720-9500 联系我们。