Endpoint Central 零日 RCE 漏洞

什么是未认证的 RCE 漏洞 (CVE-2020-10189)？
远程代码执行 (RCE) 漏洞 (CVE-2020-10189)允许攻击者在无需认证的情况下执行服务器上的任意代码。
如何修复此 RCE 漏洞？
根据您的具体情况，可以按照本文档中的步骤修复漏洞：
https://www.manageengine.com/products/desktop-central/rce-vulnerability-cve-2020-10189.html
我如何验证我的系统是否已被入侵？
您的系统中不应存在以下文件列表：
(i) 2.exe
(ii) logger.txt
(iii) logger.zip
(iv) mdmlogs.zip
(v) managed_mdmlogs.zip
(vi) StorSyncSvc.dll
如果上述任一文件出现在您的系统中，特别是在 C:\ManageEngine\DesktopCentral_Server\webapps\DesktopCentral\_chart 目录下，则系统已被入侵。

另外，请检查 C:\Users\Public\install.bat 是否存在“install.bat”文件。如果没有“install.bat”文件，则系统未被入侵。否则，请按照本文档中的步骤操作： https://www.manageengine.com/products/desktop-central/rce-vulnerability-cve-2020-10189.html
确认系统被入侵后，第一步该做什么？
第一步是通过断开服务器网络连接来隔离服务器，确保服务器无法远程访问。
系统被入侵后我需要执行哪些步骤？
如果系统被入侵，请遵循以下步骤：
(i) 断开服务器网络连接以隔离服务器。
(ii) 复制在或于 2020 年 3 月 5 日之前进行的计划备份（dbbackup），并将其复制到另一台机器上。
(iii) 将计划备份复制到另一台机器后，对服务器进行格式化。
(iv) 安装 Endpoint Central EXE。（注意：新 EXE 的构建版本应该与备份的构建版本相同）。请访问以下页面获取对应的 Endpoint Central EXE：
http://archives.manageengine.com/
(v) 恢复备份并启动服务器。强烈建议在不同的硬件环境中完成此安装。了解更多信息，请访问以下页面：
https://www.manageengine.com/products/desktop-central/backup_restoration_desktop_central_server_incompatible.html

注意：如果您使用的是 MSSQL 环境，强烈建议使用计划的数据库备份进行恢复。在 MSSQL 环境中，文件系统维护在服务器机器上，而数据库数据维护在另一台机器上。因此，通过快照恢复服务器时，只有文件系统会被还原，数据库数据不会被还原。因此，强烈建议使用计划的数据库备份进行恢复。

(vi) 服务器运行稳定后，升级到最新版本。访问此链接升级至 10.0.479：
https://www.manageengine.com/products/desktop-central/service-packs.html
我的服务器没有“_chart”文件夹。这是否意味着系统未被入侵？
是的，但请检查 C:\Users\Public\install.bat 中是否存在“install.bat”文件。如果没有该文件，则系统未被入侵。否则，请按照本文档中提供的步骤操作： https://www.manageengine.com/products/desktop-central/rce-vulnerability-cve-2020-10189.html
如何进一步保护我的服务器免受 RCE 漏洞影响？
您可以添加防火墙规则，阻止以下 IP 地址的入站和出站连接：
(i) 66.42.98.220
(ii) 74.82.201.8
(iii) 91.208.184.78
您还可以将能够访问服务器的 IP 地址加入白名单。
服务器中存在“_chart”文件夹是否总是意味着系统被入侵？这是真的吗？
是的，存在“_chart”文件夹并不总是意味着系统被入侵。该文件夹是在早期版本的 Endpoint Central 中引入的。系统只有在“_chart”文件夹中存在以下任一文件时才存在风险：2.exe、logger.txt、logger.zip、mdmlogs.zip、managedprofile_mdmlogs.zip。了解更多信息，请访问以下页面：
https://www.manageengine.com/products/desktop-central/rce-vulnerability-cve-2020-10189.html
对于带有故障转移服务器（辅助服务器）的 Endpoint Central 服务器，应遵循哪些步骤？升级到 Endpoint Central 10.0.479 版本能解决问题吗？是否有不同的步骤？
如果系统未被入侵，仅升级到 Endpoint Central 服务器 10.0.479 版本即可。否则，请遵循以下步骤：
(i) 恢复主服务器，然后移除故障转移服务器。
(ii) 恢复主服务器后，克隆主服务器以设置故障转移服务器（辅助服务器）。欲了解详情，请访问以下页面：
https://www.manageengine.com/products/desktop-central/rce-vulnerability-cve-2020-10189.html
恢复虚拟机后，似乎没有发现可疑文件。这是否意味着虚拟机不再被入侵？这是否会影响网络中的其他机器或分发服务器？
如果未找到可疑文件，则可以将 Endpoint Central 服务器升级到 10.0.479 版本。该漏洞不会影响网络中的其他机器或分发服务器。如果存在可疑文件，请断开机器网络连接，并按照本文档中的步骤操作：
https://www.manageengine.com/products/desktop-central/help/configuring_desktop_central/configuring_failover_server.html
如果上述文件出现在服务器目录中，会有什么后果？
可能发生以下情况：
(i) 可能已读取以下注册表项：
     -> SystemCertificates 注册表项
     -> Cryptography 注册表项
     -> CurrentControlSet
(ii) 可能通过注入任意代码修改了 System32 中的 DLL 文件。
(iii) 服务器可能被远程访问而无需认证。
(iv) 管理员密码可能已泄露。
我的 Endpoint Central 服务器电脑中安装了其他 ManageEngine 产品，且无法关闭机器。该情况如何处理？
请按照以下步骤操作：
(i) 断开服务器机器的网络连接。
(ii) 将日志文件发送给 Endpoint Central 支持团队（desktopcentral-support@manageengine.com）进行分析。
(iii) 删除问题 8 中列出的恶意文件。
(iv) 升级到 Endpoint Central 10.0.479 版本。
(v) 运行完整的杀毒扫描。
我的 Endpoint Central 版本低于 10.0.479。我应该升级到 10.0.479 吗？
是的，强烈建议升级到 Endpoint Central 10.0.479 版本。
我已收到安全团队关于 RCE 漏洞的邮件提醒，但服务器目录中未发现可疑文件。我还需要升级到建议的版本吗？
是的，极其重要的是升级到 Endpoint Central 10.0.479 版本。
我的系统在升级到 Endpoint Central 10.0.479 之前已被入侵。恢复是唯一的方法吗？
如果系统在升级前被入侵，则应使用 2020 年 3 月 5 日之前创建的备份进行恢复。具体步骤如下：
(i) 断开服务器网络连接以隔离服务器。
(ii) 复制在或于 2020 年 3 月 5 日之前进行的计划备份（dbbackup），并将其复制到另一台机器上。
(iii) 将计划备份复制到另一台机器后，对服务器进行格式化。
(iv) 安装 Endpoint Central EXE。（注意：新 EXE 的构建版本应该与备份的构建版本相同）。请访问以下页面获取对应的 Endpoint Central EXE：
http://archives.manageengine.com/
(v) 恢复备份并启动服务器。强烈建议在不同的硬件环境中完成此安装。了解更多信息，请访问以下页面：
https://www.manageengine.com/products/desktop-central/backup_restoration_desktop_central_server_incompatible.html
(vi) 服务器运行稳定后，升级到最新版本。访问此链接升级至 10.0.479：
https://www.manageengine.com/products/desktop-central/service-packs.html

Endpoint Central 零日 RCE 漏洞

常见问题解答

受信赖品牌