Zoho企业管理产品曝出高危漏洞
近日,有安全研究人员在Twitter上发布了Zoho企业产品Zoho ManageEngine Desktop Central
中的高危漏洞,可导致未经身份验证的攻击者在设备上以root权限直接执行命令,接管设备。
根据Zoho网站的说法,这款产品是一种端点管理解决方案,客户可用它管理网络中的设备,例如:Android智能手机,Linux服务器以及Windows工作站等。它往往充当公司内部的中央服务器,帮助系统管理员推送更新,远程控制系统,锁定设备,控制访问权限等。
攻击者一旦完全控制该设备,即会对公司内部的设备群产生极大安全威胁,实施勒索攻击等一系列恶意操作。
概况
根据目前FOFA系统最新数据(一年内数据),显示全球范围内(title="ManageEngine Desktop")共有2966个相关服务对外开放。美国使用数量最多,共有1191个,英国第二,共有266个,德国第三,共有156个,加拿大第四,共有122个,澳大利亚第五,共有89个。
全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)
中国大陆地区上海市使用数量最多,共有10个,北京市第二,共有7个,江苏省第三,共有5个,天津市第四,共有5个,浙江省第五,共有4个。
危害等级
严重
漏洞原理
在web.xml文件中,可以看到默认的可用servlet之一有CewolfServlet
。
<servlet> <servlet-name>CewolfServlet</servlet-name> <servlet-class>de.laures.cewolf.CewolfRenderer</servlet-class> <init-param> <param-name>debug</param-name> <param-value>false</param-value> </init-param> <init-param> <param-name>overliburl</param-name> <param-value>/js/overlib.js</param-value> </init-param> <init-param> <param-name>storage</param-name> <param-value>de.laures.cewolf.storage.FileStorage</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet> <servlet-mapping> <servlet-name>CewolfServlet</servlet-name> <url-pattern>/cewolf/*</url-pattern> </servlet-mapping>
其中包含的部分代码如下,会通过GET参数img
来设置imgKey
变量,随后再调用storage.getChartImage
方法。
String imgKey = request.getParameter("img"); // 1 if (imgKey == null) { logAndRenderException(new ServletException("no 'img' parameter provided for Cewolf servlet."), response, width, height); return; } Storage storage = config.getStorage(); ChartImage chartImage = storage.getChartImage(imgKey, request);
而storage实例作为初始化参数映射到web.xml
文件中的servlet代码:
<init-param> <param-name>storage</param-name> <param-value>de.laures.cewolf.storage.FileStorage</param-value> </init-param> ois = new ob jectInputStream(new FileInputStream(getFileName(id))); res = (ChartImage) ois.readob ject(); ois.close();
最后代码会通过攻击者控制的id
参数调用getFileName
,它会直接返回文件路径(basePath)。而这个字段和servlet的init
有关。同时代码通过FileInputStream
利用提供的文件路径创建一个新的objectInputStream
实例。
最重要的一点是,代码会使用文件内容去调用 readobject
。
漏洞影响
10.0.479
之前的版本均有可能受到影响
CVE编号
CVE-2020-10189
修复建议
目前官网已发布安全更新,请管理员及时下载安装:https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.html