Los administradores utilizan HP Device Manager para gestionar de forma remota los clientes ligeros HP, dispositivos que utilizan recursos de un servidor central para diversas tareas.
Cuando se encadenan, las fallas de seguridad descubiertas por el investigador de seguridad Nick Bloor podrían permitir a los atacantes obtener privilegios del SYSTEM de forma remota en dispositivos específicos que ejecutan versiones vulnerables de HP Device Manager, lo que permitiría la toma de control total del sistema.
El impacto potencial en la seguridad de los dispositivos vulnerables también incluye "ataques de diccionario, acceso remoto no autorizado a los recursos y elevación de privilegios", según HP.
Fallos de seguridad encadenables
Las tres vulnerabilidades de seguridad de HP Device Manager se rastrean como CVE-2020-6925, CVE-2020-6926 y CVE-2020-6927.
- CVE-2020-6925 afecta a todas las versiones de HP Device Manager y expone las cuentas administradas localmente de HP Device Manager a ataques de diccionario debido a una implementación de cifrado débil (no afecta a los clientes que usan cuentas autenticadas de Active Directory).
- CVE-2020-6926 es una falla de invocación de método remoto en todas las versiones de HP Device Manager que permite a atacantes remotos obtener acceso no autorizado a los recursos.
- CVE-2020-6927 es la debilidad que puede permitir a los atacantes obtener privilegios del SISTEMA a través de un usuario de base de datos de puerta trasera en la base de datos PostgreSQL (la contraseña utilizada es solo un espacio).
Este último error no afecta a los "clientes de HP que están usando una base de datos externa (Microsoft SQL Server) y no han instalado el servicio Postgres integrado", explica HP.
"Esencialmente, el acceso remoto se habilitó a través del acceso no autenticado al servicio RMI de Java y una vulnerabilidad de inyección SQL que permitió que Postgres se reconfigurara y se establecieran conexiones directas con esta cuenta de usuario de puerta trasera", dijo Bloor a BleepingComputer.
"Combinado con algunas otras vulnerabilidades, esto conduce a la ejecución de comandos remotos no autenticados como SYSTEM", explica Bloor.
La lista de vulnerabilidades de HP Device Manager, sus clasificaciones de gravedad y CVE se pueden encontrar en la tabla incluida a continuación.
| CVE ID | Potential Vulnerability | Impacted Version | CVSS 3.0 Base Score |
| CVE-2020-6925 | Weak Cipher | All versions of HP Device Manager | 7.0 |
| CVE-2020-6926 | Remote Method Invocation | All versions of HP Device Manager | 9.9 |
| CVE-2020-6927 | Elevation of Privilege | HP Device Manager 5.0.0 to 5.0.3 | 8.0 |
Medidas de mitigación disponibles
Los clientes pueden descargar HP Device Manager 5.0.4 para proteger sus sistemas contra posibles ataques que podrían aprovechar la debilidad de elevación de privilegios CVE-2020-6927.
HP aún no ha publicado actualizaciones de seguridad para abordar los problemas de seguridad CVE-2020-6925 y CVE-2020-6926 que afectan al software de administración de clientes ligeros de HP.
Sin embargo, la empresa proporciona a los clientes pasos de remediación que deberían mitigar al menos parcialmente los riesgos de seguridad.
La lista completa de medidas de mitigación que los administradores de TI pueden tomar para mitigar las vulnerabilidades incluye:
- Limitar el acceso entrante a los puertos 1099 y 40002 del Administrador de dispositivos a IP confiables o solo localhost
- Eliminar la cuenta dm_postgres de la base de datos de Postgres; o
- Actualizar la contraseña de la cuenta dm_postgres en HP Device Manager Configuration Manager; o
- Dentro de la configuración del Firewall de Windows, cree una regla de entrada para configurar el puerto de escucha de PostgreSQL (40006) solo para el acceso del host local.
Fuente:
No hay comentarios:
Publicar un comentario