【最新ビルドで修正済み】Desktop Centralの脆弱性(CVE-2021-44515)について
作成日:2021年12月6日 | 更新日:2022年2月9日
【既知の不具合】Desktop Centralの脆弱性(CVE-2021-44515)について
【対象ビルド】
- Desktop Central Enterprise Edition 10.1.2127.17以前のビルド (10.0.643 および 10.0.644 を除く)
- Desktop Central Enterprise Edition 10.1.2128.0 から 10.1.2137.2 のビルド
※ 脆弱性発見時の日本国内での最新ビルドが 10.0.642 のため、日本国内でリリースされている 10.0.642以前のすべてのビルド が対象となります。(参考:日本でリリースされたビルド一覧)
※ ビルド番号の数え方が10.1から変更となります。詳しくはビルド番号の確認方法をご覧ください。
※ クラウド版(Desktop Central Cloud)への影響はありません。
※ ServiceDesk Plus 11.3 以上をご利用の場合はこちらをご覧ください。
【問題】
上記対象ビルドのDesktop Centralには、認証バイパスの脆弱性が存在し、Desktop Central任意コード実行の被害を受ける恐れがあります。 (CVE-2021-44515)。
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44515 (CVE,英語)
- https://nvd.nist.gov/vuln/detail/CVE-2021-44515 (NVD,英語)
- https://www.manageengine.com/products/desktop-central/cve-2021-44515-authentication-bypass-filter-configuration.html(Zoho Corporation,英語)
- https://pitstop.manageengine.com/portal/en/community/topic/an-authentication-bypass-vulnerability-identified-and-fixed-in-desktop-central-and-desktop-central-msp(Zoho Corporation,英語)
【詳細】
Desktop Centralにおいて、認証バイパスの脆弱性が特性されました。この脆弱性を悪用されると、サーバー側において任意コード実行の被害を受けるおそれがあります。
侵害を受けていないか確認する簡単なツール(エクスプロイト検知ツール)を作成いたしました。使用方法は以下の通りです。
- Desktop Centralサーバーでエクスプロイト検知ツールをダウンロードします。
- ファイルを解凍し、Desktop Centralサーバーフォルダー\bin 内に配置します。
(デフォルトのパスは \ManageEngine\UEMS_CentralServer\bin folder または \ManageEngine\DesktopCentral_Server\bin ) - コマンドプロンプトを開き、先ほどのフォルダーに移動します。
- RECScan.exeを実行します。
- "NOT COMPRPMISED" と表示されれば問題ありません。なお、侵害指標インディケーター(Indicators of Compromise, IOC)として、以下のファイルが報告されております。
- <Desktop Centralサーバーフォルダー>\lib 内の aaa.zip ( md5 - 9809bdf6e9981fbc3ad515b731124342 )
- <Desktop Centralサーバーフォルダー>\webapps\DesktopCentral\html 内の help_me.jsp
対処方法
必須の対応
日本国内向け最新ビルドで修正済みです。アップグレードして対応します。
新ビルドリリースに伴い、記述を変更しました
Desktop Central 10.0.644 Desktop Central 10.0.644 へアップグレードします。
Desktop Central 10.0.643リリースノートDesktop Central 10.0.643へのアップグレード手順Desktop Central 10.0.644リリースノートDesktop Central 10.0.644へのアップグレード手順
侵害を受けた場合の対応
- 侵害を受けたシステムをネットワークから隔離します。
- Desktop Centralデータベースのバックアップを取得し、外部に保存します。
- その他の必要なデータのバックアップを取得し、外部に保存します。
- 侵害を受けたシステムをフォーマットします。
- Desktop Centralを(可能なら別のシステムに)再インストールし、バックアップを取得したビルドと同じビルドのDesktop Centralをインストールします。
- 取得したバックアップをリストアします。
- 最新ビルドにアップグレードします。
- 以下の対応をおすすめします。
- すべてのサービス、アカウント、Active Directoryなど、侵害を受けたシステムからアクセス可能なすべてのサービスのパスワードをリセットします。
- Active Directory管理者パスワードをリセットします。
ServiceDesk Plus 11.3以上をご利用の場合
ServiceDesk Plus 11.3以上をご利用の場合、資産管理のエージェントスキャンにおいてDesktop Centralが使用されます。
※ ServiceDesk Plus 11.2以前をご利用の場合、Desktop Centralは使用されておりません。
ServiceDesk Plus 11.3以上の環境で使用されるDesktop Centralはビルド10.1以降のため、日本国内向け最新版の Desktop Central (Desktop Central 10.1.2137.11 以降)へのアップグレードをお願いいたします。
日本国内でリリースされている修正ビルドへのアップグレードはできません。
こちらをご覧いただき、グローバルでの最新ビルド 10.1.2127.18 または 10.1.2137.3 へのアップグレードをお願いいたします。