f:id:micro_keyword:20200308182620p:plain:w400

SaaSで提供するWebアプリケーションベンダであるZOHOが提供するManageEngine Desktop Centralにて、遠隔の第三者が認証なしにリモートコード実行を行える脆弱性が公開されました。

https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.html

NVD - CVE-2020-10189

本脆弱性に関しては、US-CERTからも注意喚起が公開されています。

Since @zoho typically ignores researchers, I figured it was OK to share a ManageEngine Desktop Central zero-day exploit with everyone. UnCVE'ed, unpatched and unauthenticated RCE as SYSTEM/root. Enjoy!

Advisory: https://t.co/U9LZPp4l5o
Exploit: https://t.co/LtR75bhooy
— ϻг_ϻε (@steventseeley) 2020年3月5日

そして、同Tweetに掲載の通りPoCも公開されています。

https://srcincite.io/pocs/src-2020-0011.py.txt

だいぶご丁寧に書かれています。

以下は、発見者に記載されているPoCコードの実行結果です。

実際に確認したわけではないので条件などもあるかもしれませんが、脆弱性の悪用によって、「任意のコード実行ができていること」、「権限がSYSTEMになっていること」が確認できます。

(+) usage: ./poc.py <target> <cmd>
(+) eg: ./poc.py 172.16.175.153 mspaint.exe

saturn:~ mr_me$ ./poc.py 172.16.175.153 "cmd /c whoami > ../webapps/DesktopCentral/si.txt"
(+) planted our serialized payload
(+) executed: cmd /c whoami > ../webapps/DesktopCentral/si.txt

saturn:~ mr_me$ curl http://172.16.175.153:8020/si.txt
nt authority\system

ちなみに、ポート番号8020や8383は、同製品のエージェントとサーバ間の通信に用いられるデフォルトポートだとのことです。

https://www.manageengine.jp/support/kb/Desktop_Central/?p=10