La puerta trasera de HP Device Manager permite a los atacantes tomar el control de los sistemas Windows

La puerta trasera de HP Device Manager permite a los atacantes tomar el control de los sistemas Windows

HP ha publicado un aviso de seguridad que detalla tres vulnerabilidades críticas y de alta gravedad en HP Device Manager que podrían conducir a la auditoría del sistema.

Los administradores utilizan HP Device Manager para gestionar de forma remota HP cliente ligero, dispositivos que utilizan recursos de un servidor central para diversas actividades.

Cuando están encadenados, las fallas de seguridad descubierto El investigador de seguridad Nick Bloor podría permitir a los atacantes obtener privilegios del SISTEMA de forma remota en dispositivos específicos que ejecutan versiones vulnerables de HP Device Manager que permitirían un control total del sistema.

Según HP, el impacto potencial de seguridad de los dispositivos vulnerables también incluye "ataques de diccionario, acceso remoto no autorizado a los recursos y escalada de privilegios".

Índice de contenidos()

    Defectos de seguridad concatenables

    Las tres vulnerabilidades de seguridad de HP Device Manager se monitorean como CVE-2020-6925, CVE-2020-6926 y CVE-2020-6927.

    CVE-2020-6925 afecta a todas las versiones de HP Device Manager y expone las cuentas administradas localmente por HP Device Manager a ataques de diccionario debido a una implementación de cifrado débil (no afecta a los clientes que utilizan cuentas autenticadas por Active Directory).

    CVE-2020-6926 es una falla de invocación de método remoto en todas las versiones de HP Device Manager que permite a atacantes remotos obtener acceso no autorizado a los recursos.

    CVE-2020-6927 es el punto óptimo que puede permitir a los atacantes obtener privilegios del SISTEMA a través de un usuario de base de datos de puerta trasera en la base de datos PostgreSQL.

    Este último error no afecta a "los clientes de HP que utilizan una base de datos externa (Microsoft SQL Server) y no tienen instalado el servicio Postgres integrado", explica HP.

    "Esencialmente, el acceso remoto se habilitó a través del acceso no autenticado al servicio RMI de Java y una vulnerabilidad de inyección SQL que permitió a Postgres reconfigurar y crear conexiones directas con esta cuenta de usuario de puerta trasera", dijo Bloor a BleepingComputer. .

    "Combinado con algunas otras vulnerabilidades, esto conduce a la ejecución de comandos remotos no autenticados como SYSTEM", Bloor explica.

    La lista de vulnerabilidades de HP Device Manager, sus niveles de gravedad y CVE se pueden encontrar en la tabla incorporada a continuación.

    ID CVE

    Vulnerabilidad potencial

    Versión afectada

    Puntaje base CVSS 3.0

    CVE-2020-6925

    Cifrado débil

    Todas las versiones de HP Device Manager

    7.0

    CVE-2020-6926

    Invocación de método remoto

    Todas las versiones de HP Device Manager

    9,9

    CVE-2020-6927

    Elevación de privilegio

    HP Device Manager 5.0.0 a 5.0.3

    8.0

    Medidas de mitigación disponibles

    Los clientes pueden descargar Administrador de dispositivos HP 5.0.4 para proteger sus sistemas de posibles ataques que podrían aprovechar la debilidad de elevación de privilegios CVE-2020-6927.

    HP aún no ha publicado actualizaciones de seguridad para abordar los problemas de seguridad CVE-2020-6925 y CVE-2020-6926 que afectan al software de administración de clientes ligeros de HP.

    Sin embargo, la empresa ofrece a los clientes etapas de reparación que debería mitigar al menos parcialmente los riesgos de seguridad.

    La lista completa de medidas de mitigación que los administradores de TI pueden tomar para mitigar las vulnerabilidades incluye:

    • Restrinja el acceso entrante a los puertos 1099 y 40002 del Administrador de dispositivos a IP confiables o solo localhost
    • Elimine la cuenta dm_postgres de la base de datos de Postgres; o

    • Actualice la contraseña de la cuenta dm_postgres en HP Device Manager Configuration Manager; o

    • En la configuración del Firewall de Windows, cree una regla de entrada para configurar el puerto de escucha de PostgreSQL (40006) solo para el acceso del host local.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir