Nous espérons que vous êtes au fait de la vulnérabilité récemment signalée dans Desktop Central CVE-2020-10189. Elle a été mise en évidence par Steven Seeley de Source Incite le 6 mars 2020. Notre équipe de sécurité a travaillé 24 heures sur 24 pour corriger cette vulnérabilité, et publier le correctif le même jour. Cependant, nous voulions informer tous nos clients et les tenir au courant des détails de cette vulnérabilité RCE (Remote Code Execution). Nous vous demandons de lire attentivement cet avis de sécurité afin de comprendre le problème, ses implications et les mesures à prendre pour renforcer le réseau de vos utilisateurs finaux contre cette vulnérabilité. Cet avis est valable pour les utilisateurs de Desktop Central et de Desktop Central MSP.

Problème : Exécution arbitraire de codes non authentifiés

Quel est le problème ?

Desktop Central avait un téléchargement de fichier non authentifié, par lequel l'écriture arbitraire de fichiers était possible dans l'instance en cours d'exécution. De plus, un autre terminal non authentifié ne permettait pas de valider correctement les données fournies par l'utilisateur, ce qui peut entraîner la désérialisation de données non fiables. Ces deux failles de sécurité, combinées, permettent à un pirate d'exécuter un code arbitraire dans le contexte du SYSTEM sur les installations de Desktop Central concernées.

Qui est concerné ? 

Les utilisateurs des builds 10.0.473 et inférieures de Desktop Central sont exposés au risque d'exploitation de cette vulnérabilité. Notez que les utilisateurs des versions 10.0.474 à 10.0.478 ne sont pas exposés à cette exploitation, mais qu'il leur est conseillé de passer à la dernière version pour bénéficier de mesures de sécurité renforcées.

Quelles ont été les mesures prises par l'équipe du Desktop Central pour régler ce problème ? 

Le correctif initial pour la vulnérabilité du téléchargement arbitraire de fichiers a été publié dans la version 10.0.474 le 20 janvier 2020. Ce correctif annule l'exploitabilité de la vulnérabilité RCE. Cependant, la correction complète de la vulnérabilité de l'exécution de code à distance est maintenant disponible dans la version 10.0.479, qui a été publiée le 6 mars 2020.

Comment vérifier si mon installation a été compromise ?

Remarque : il s'agit d'une des méthodes permettant de vérifier si la vulnérabilité a été exploitée. S'il existe un fichier portant ces noms logger.txt, logger.zip, mdmlogs.zip, managedprofile_mdmlogs.zip dans le dossier \ManageEngine\DesktopCentral_Server\webapps\DesktopCentral\_chart, alors votre installation a été compromise. Si votre instance Desktop Central a été exploitée, utilisez la sauvegarde programmée de votre installation et restaurez-la pour une nouvelle instance sur une nouvelle installation. Si vous utilisez un certificat tiers, il est fortement recommandé de contacter votre autorité de certification pour réémettre vos certificats SSL et révoquer les précédents.

Comment le problème sera-t-il résolu ? 

La servlet compromise a été supprimée. En outre, l'ensemble complet des paramètres a été validé, ce qui permet d'éviter l'injection de code non authentifié.

Comment appliquer le correctif pour cette vulnérabilité ? 

Les clients de Desktop Central sont invités à effectuer une mise à niveau vers la dernière version. Suivez les étapes ci-dessous pour effectuer la mise à jour vers la dernière build :

1. Connectez-vous à la console de Desktop Central. Dans le coin supérieur droit, cliquez sur le numéro de build.
2. En cliquant sur votre version de build actuelle, vous pourrez trouver le dernier build applicable à votre réseau.
3. Téléchargez le PPM disponible et mettez à jour votre version.

Remarque : il est néanmoins fortement recommandé de passer à la dernière version pour bénéficier de mesures de sécurité renforcées et d'améliorations permettant un fonctionnement sans faille du produit.