【最新ビルドで修正済み】Desktop Centralの脆弱性(CVE-2020-15589)について
作成日:2020年10月23日 | 更新日:2022年2月9日
【既知の不具合】Desktop Centralの脆弱性(CVE-2020-15589)について
【対象ビルド】
Desktop Central 10.0.646より前のビルド
【問題】
上記対象ビルドのDesktop Centralサーバー・エージェント間に、信頼されない通信が発生する可能性があります。( CVE-2020-15589 )。
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15589 (CVE,英語)
- https://nvd.nist.gov/vuln/detail/CVE-2020-15589 (米国国立標準技術研究所, 英語)
- https://www.manageengine.com/products/desktop-central/untrusted-agent-server-communication.html (Zoho Corporation, 英語)
【詳細】
Desktop Central 10.0.552W エージェント内に含まれるGetInternetRequestHandle、InternetSendRequestExおよびInternetSendRequestByBitrateにおいて、TLS証明書の検証を回避したサーバーとの通信が可能になる脆弱性が確認されています。
本件に加えて、社内ネットワーク内のDNSサーバーに対してDNSスプーフィング等の攻撃を受けることによって、中間者攻撃の可能性があります。
本脆弱性単体では、管理対象側に対してDesktop Centralサーバーの宛先を偽装することはできないことから、攻撃者が社内ネットワークにアクセスし、社内のDNSへの攻撃ができない限り、中間者攻撃の可能性は低いと考えられます。
本脆弱性は、Tomasz Kuczyński氏 と pat0is氏によって報告されました。
本脆弱性は、Tomasz Kuczyński氏 と pat0is氏によって報告されました。
【解決方法】
日本国内向け最新ビルドへアップグレードします。
【修正ビルド】
Desktop Central 10.0.646 以降
(Desktop Central 10.1.2137.11 を含む)