Эксперты компании Cognitous Cyber Security рассказали изданию The Register о ряде проблем в решении HP Device Manager, которое предназначено для управления устройствами HP Thin Client.
Исследователи объясняют, что разработчики, похоже, забыли в коде HP Device Manager незащищенную учетную запись, которая может играть роль бэкдора. Хуже того, эта учетная запись может использоваться для повышения привилегий, а в сочетании с еще одним багом, для удаленного выполнения команд с правами SYSTEM.
«Это привилегированная учетная запись с паролем, состоящим из одного лишь пробела. Единственное упоминание о ней было обнаружено в логе базы данных, включенном в HP Device Manager, причем записи в логе датированы временем, когда я еще даже не установил саму программу, — рассказывает специалист Cognitous Cyber Security Ники Блур (Nicky Bloor). — В итоге любой, у кого есть доступ к серверу с установленным HP Device Manager, может использовать эту учетную запись, чтобы получить полный контроль над сервером».
Хуже того, изучая HP Device Managerс настройками по умолчанию, эксперт обнаружил, что уязвимость может использоваться удаленно, и любой, кто может подключиться к серверу с работающим HP Device Manager, может получить полный контроль над этим сервером.
Еще в начале августа эксперты попытались уведомить разработчиков HP о своих находках, но сначала долго не получали ответа, а затем представители компании попросили стандартные 90 дней на устранение бага, хотя не подтвердили, что вообще изучили отчеты об уязвимостях, и не предложили никаких мер по устранению багов. В итоге Блур и его команда решили не ждать: «мне платят за то, чтобы я помогал людям защищать их ИТ-среды и приложения, и у меня нет времени, чтобы впустую гоняться за HP и надеяться, что через 90 с лишним дней они все же выпустят патч», — говорит эксперт.
Блур пояснил, что защититься от эксплуатации проблемы совсем нетрудно: достаточно установить надежный пароль для пользователя dm_postgres базы данных Postgres hpdmdb на TCP-порту 40006 1/4.
Представители HP сообщили журналистам The Register, что в компании признают правоту специалистов, а проблемам уже были присвоены несколько идентификаторов: CVE-2020-6925, CVE-2020-6926 и CVE-2020-6927. При этом уязвимость CVE-2020-6926 получила 9,9 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Компания уже опубликовала защитные рекомендации для своих клиентов.
Администраторам настоятельно рекомендуется выполнить обновление до HP Device Manager 5.0.4 или HP Device Manager 4.7 Service Pack 13, чтобы устранить проблемы. Сообщается, что все версии HP Device Manager содержат уязвимости, связанные со слабым шифрованием и удаленным вызовом, а версии с 5.0.0 по 5.0.3 уязвимы еще и перед повышением привилегий.
