DesktopCentral脆弱性診断ツール/判断基準と対応について
作成日:2020年3月12日 | 更新日:2022年6月22日
この記事では、Desktop Centralのリモートコード実行脆弱性(CVE-2020-10189)に関連して作成された脆弱性診断ツールの使用方法と、リモートコード実行脆弱性(CVE-2020-10189)を悪用されて攻撃被害を受けたと判断するための知見について説明しています。
[ 1. 脆弱性診断ツール | 2. 判断基準とその後の対応方法 ]1. DesktopCentral脆弱性診断ツール
Desktop Centralのリモートコード実行脆弱性(CVE-2020-10189)に関連して、Desktop Centralサーバーがインストールされたコンピューター(以下、Desktop Centralサーバーコンピューター)に脆弱性の有無を確認するツールを開発しました。Desktop Centralサーバーがインストールされたコンピューター内で、悪用されると判明した場合、ツールは自動的に悪意のあるファイルとサービスを自動的に削除します。
1. 本ツールの使用にあたっての前提条件
本ツールは、Desktop Central 10.0.478以前に対して有効です。Desktop Central 10.0.479以降では、本ツールを実行しないでください。
Desktop Centralサーバーを外部に公開していない場合やセキュアゲートウェイサーバーを利用している場合、本脆弱性による影響は非常に限定的となります。
Desktop Central10.0.479以降で本ツールを実行した場合は、以下の手順を実行する必要があります。
- <Desktop Central Server>\webapps\DesktopCentral\WEB-INF\web.xmlを削除します。
- 同じフォルダー内にあるweb_backup.xmlのファイル名をweb.xmlに変更します。
2. ツールの使用方法
- Desktop Centralサーバーコンピュータ-に接続し、スタート > ファイル名を指定して実行 > services.msc > ManageEngine Desktop Central Serverサービスを停止します。
- こちらのファイルをダウンロードして、解凍します。
- 解凍したファイル内にある vulnerabilityCleanup.bat を <Desktop Centralサーバーのインストールフォルダー>\bin に配置します(デフォルトでは"C:\Program Files\DesktopCentral_Server\bin"または"C:\ManageEngine\DesktopCentral_Server/bin"です。サーバーをインストールした時のビルドによって異なります)。
- 解凍したファイル内にある vulnerabilityCleanUp.jar を <Desktop Centralサーバーのインストールフォルダー>\lib に配置します。
- コマンドプロンプトを右クリック > 管理者として実行 をクリックし、<Desktop Centralサーバーのインストールフォルダー>\DesktopCentral_Server\binに移動し、 vulnerabilityCleanup.bat を実行します。
- このバッチファイルが正常に実行されると、コマンドプロンプトの結果に、ネットワークが悪用されたかどうかが示されます。
(翻訳元:https://www.manageengine.com/products/desktop-central/identify-and-mitigate-rce-vulnerability.html)
2. 判断基準とその後の対応方法
1. 攻撃被害の判断基準
Zoho Corporationの調査をもとにした以下の基準で、サイバー攻撃の有無を判断します。
- 次のファイルは、Desktop Centralサーバーには本来存在しません。以下のファイルがDesktop Centralサーバーコンピューター内 (特にC:\ManageEngine\DesktopCentral_Server\webapps\DesktopCentral\_chart) に存在する場合、システムは攻撃を受け侵入されていると判断します。
- 2.exe
- logger.txt
- logger.zip
- mdmlogs.zip
- managed_mdmlogs.zip
- StorSyncSvc.dll
- C:\Users\Public\install.bat が存在するかどうかを確認します。install.batが存在する場合、システムは攻撃を受け侵入されていると判断します。
2. 攻撃被害を受けたと判明した場合の対処
攻撃被害を受けた場合の対処 1
Desktop Centralサーバーコンピューターをただちにネットワークから隔離し、組織の情報セキュリティ担当者へ連絡します。
攻撃被害を受けた場合の対処 2
攻撃被害を受けたと判明した場合の対処 1 を実行した後に、続けて以下を実行します。
- Desktop Centralサーバーコンピューターが、ネットワークから切断されていることを確認します。
- Desktop Centralサーバーコンピュータ-が仮想マシンの場合は、2020年3月5日以前に作成されたバックアップファイルを用意し次の手順に進みます。Desktop Centralサーバーコンピュータ-が物理マシンの場合は、本件の影響を受けていない2020年3月5日以前に作成されたバックアップファイルをコンピューターの外部に複製し、サーバーコンピューターをフォーマットします。
- 新しくDesktop Centralをセットアップし、バックアップをリストアします。物理マシンの場合は、フォーマット前まで使用していたマシンとは別のマシンに対してDesktop Centralを再インストールすることを推奨します。
- バックアップを適用するには、バックアップファイルを作成した時点のビルドと適用先のDesktop Centralのビルドが同じである必要があります。
- MS SQLを使用している場合は、手動バックアップではなく、スケジュールバックアップを使用して復元することを強く推奨します。これは、MS SQL環境での手動バックアップには、Desktop Centralサーバーコンピュータ-のファイルシステムのみが含まれており、DBデータは含まれていないためです。
- Desktop Centralサーバーが起動の起動を確認したら、最新のビルドにアップグレードします。
(翻訳元:https://www.manageengine.com/products/desktop-central/rce-vulnerability-cve-2020-10189.html および https://www.manageengine.com/products/desktop-central/rce-vulnerability-faq.html)
攻撃被害を受けた場合の対処 3
攻撃被害を受けたと判明した場合の対処 1,2 を実行した後に、続けて以下を実行します。
- 以下のIPアドレスをブラックリストとしてファイアウォールの送受信禁止アドレスに追加します。
- (i) 66.42.98.220
- (ii) 74.82.201.8
- (iii) 91.208.184.78
- 必要に応じて、2020年3月5日から修正プログラムを適用するまでのファイアウォールログを精査し、不審なIPアドレス(→参考)との通信の有無を確認します。
- ネットワーク監査ツールを使用している場合は、マルウェア等が他のコンピューターへ侵入した形跡の有無を確認してください。
- 次のパスワードを変更します。
- Desktop Centralサーバーコンピューターからアクセスされるユーザー/システムアカウント
- Active Directoryの資格情報(Desktop CentralサーバーコンピューターがActive Directory環境の一部である場合、またはADがDesktop Centralサーバーと統合されている場合)
- Desktop CentralサーバーコンピューターにインストールされたマシンからアクセスされるWebアカウント
- Desktop CentralサーバーコンピューターがSSHキーを介して他のシステムに接続する場合、SSHキーを削除し、新たな公開鍵/秘密鍵のペアを作成します。
(翻訳元:https://www.manageengine.com/products/desktop-central/identify-and-mitigate-rce-vulnerability.html および https://www.manageengine.com/products/desktop-central/rce-vulnerability-faq.html)
3. 想定される影響範囲
上記の判断基準において攻撃被害を受けたと考えられる場合、以下に示す例のような影響が考えられます。
- SystemCertificatesハイブ、暗号化ハイブ、CurrentControlSetへのアクセス権を不正に取得することにより、いくつかのハイブのデータが漏洩する。
- 悪意あるDLLファイルがSystem32フォルダー内に配置され、実行可能ファイルの実行が改ざんされ、情報を漏洩させるマルウエア等のコードが挿入されている。
- アプリケーションの実行において、RemoteThreadが作成され、リモートプロセスに悪意のあるスレッドを挿入する。
- 一般的な攻撃ペイロードであるコバルトストライクペイロードを使用し、サーバーにインストールされたマシンからデータを抽出するリバースシェルを確立することで、管理者の資格情報が変更される。
- Internet ExplorerのCookieおよびOutlookのCookieにアクセスされ、イベントログが完全に消去される。
(翻訳元:https://www.manageengine.com/products/desktop-central/implications-of-rce-vulnerability.html および https://www.manageengine.com/products/desktop-central/rce-vulnerability-faq.html)
3.0.19.24
193.169.255.102
171.25.193.78
23.227.206.166
66.42.98.220
74.82.201.8
91.208.184.78