CVE-2020-10189

Zoho ManageEngine

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Zoho ManageEngine Desktop Central contains a file upload vulnerability that allows for unauthenticated remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-10189) в Zoho ManageEngine Desktop Central позволяет неавторизованному злоумышленнику загрузить вредоносный файл на сервер через специально сформированный HTTP-запрос. Это приводит к выполнению произвольного кода на сервере с правами системной учетной записи, под которой работает приложение.

Как исправить

Необходимо немедленно обновить Zoho ManageEngine Desktop Central до версии, в которой уязвимость устранена.

  1. Определите текущую версию: Перейдите в веб-интерфейс Desktop Central по адресу https://<ваш_сервер>:<порт>/. Версия указана в правом нижнем углу страницы входа или в разделе Администрирование > О программе.
  2. Загрузите и установите патч:
    • Для версий с 10.0.474 до 10.0.552: Обновитесь до версии 10.0.553 или выше.
    • Для версий 9.x и старше: Сначала обновитесь до версии 10.0.474, затем до 10.0.553 или выше.
  3. Процесс обновления (стандартный):
    • Скачайте последнюю версию (DesktopCentral_<версия>.exe для Windows или .sh для Linux) с официального портала Zoho.
    • Остановите службы Desktop Central.
    • Запустите установщик от имени администратора и следуйте инструкциям.
    • После установки перезапустите сервер.

Пример для Linux:

# Остановите службы Desktop Central
sudo systemctl stop desktopcentral

# Сделайте установочный файл исполняемым и запустите его
chmod +x DesktopCentral_<версия>.sh
sudo ./DesktopCentral_<версия>.sh

# После завершения установки перезагрузите сервер
sudo reboot

Временное решение

Если немедленное обновление невозможно, примените следующие меры для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу:

    • Настройте правила брандмауэра или группы безопасности (Security Group), чтобы разрешить доступ к портам Desktop Central (обычно 8020/HTTP и 8443/HTTPS) только с доверенных IP-адресов (например, из внутренней сети или VPN).
    • Пример правила для iptables (Linux): bash # Разрешить доступ только с подсети 192.168.1.0/24 iptables -A INPUT -p tcp --dport 8443 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 8443 -j DROP

  2. Настройте WAF (Web Application Firewall):

    • Активируйте или настройте правила в имеющемся WAF (например, ModSecurity, Cloudflare, AWS WAF) для блокировки запросов, содержащих в URI или теле запроса подозрительные шаблоны, связанные с данной уязвимостью (например, пути, содержащие Struts2 или FileUpload).
    • Пример простого правила для ModSecurity: SecRule REQUEST_URI "@contains FileUpload" "id:1001,deny,status:403,msg:'Block CVE-2020-10189 exploit attempt'"

  3. Проверьте журналы на предмет атак:

    • Немедленно проверьте логи веб-доступа Desktop Central (например, logs/ в каталоге установки) на наличие подозрительных запросов, содержащих строки, связанные с загрузкой файлов или выполнением команд.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей