HPE behebt kritischen Zero-Day in Server-Management-Software

Cyber Security News

Der Fehler in HPE SIM macht es Angreifern kinderleicht, Code aus der Ferne auszulösen, ohne dass eine Benutzerinteraktion erforderlich ist.

Hewlett Packard Enterprise (HPE) hat einen kritischen Zero-Day-Fehler zur Remote-Code-Ausführung (RCE) in seiner Software HPE Systems Insight Manager (SIM) für Windows behoben, den das Unternehmen ursprünglich im Dezember bekannt gab.

HPE SIM ist ein Tool, das Remote-Support-Automatisierung und -Verwaltung für eine Vielzahl von HPE-Servern, einschließlich HPE ProLiant Gen10 und HPE ProLiant Gen9, sowie für Speicher- und Netzwerkprodukte ermöglicht.

Das Unternehmen aktualisierte seinen ersten Sicherheitshinweis am Donnerstag. Vor mehr als einem Monat, am 20. April, hatte HPE ein früheres SIM-Hotfix-Update-Kit herausgegeben, das die Sicherheitslücke behebt.

Dabei handelt es sich um eine extrem risikoreiche Schwachstelle, die es Angreifern ohne Berechtigungen ermöglichen kann, Code aus der Ferne auszuführen: Sie wird als CVE-2020-7200 geführt und mit 9,8 von maximal 10 Punkten bewertet. Er wird in den neuesten Versionen (7.6.x) der SIM-Software von HPE gefunden und betrifft nur die Windows-Version.

Dieser Fehler ermöglicht Angriffe mit geringer Komplexität, die keine Benutzerinteraktion erfordern. Wie Packet Storm erklärt hat, ermöglicht er Angreifern die Ausführung von Code im Kontext des hpsimsvc.exe-Prozesses von HPE SIM, der mit administrativen Rechten läuft.

Das Problem rührt von einem Fehler bei der Validierung von Daten während des Deserialisierungsprozesses her, wenn ein Benutzer eine POST-Anfrage an die Seite /simsearch/messagebroker/amfsecure sendet. “Dieses Modul nutzt diese Schwachstelle aus, indem es eine veraltete Version von Commons Collection, nämlich 3.2.2, die mit HPE SIM ausgeliefert wird, ausnutzt, um als administrativer Benutzer, der HPE SIM ausführt, Remotecodeausführung zu erlangen”, so Packet Storm. Das Fehlen einer ordnungsgemäßen Validierung der vom Benutzer bereitgestellten Daten kann zur Deserialisierung von nicht vertrauenswürdigen Daten führen, wodurch Angreifer Code auf Servern ausführen können, auf denen anfällige SIM-Software läuft.

Es gibt einen Workaround

HPE empfiehlt, diesen Patch so schnell wie möglich bereitzustellen. Für diejenigen, die das Sicherheitsupdate CVE-2020-7200 nicht sofort auf anfälligen Systemen bereitstellen können, hat HPE Maßnahmen zur Abschwächung bereitgestellt, die das Entfernen der Funktion “Federated Search” & “Federated CMS Configuration” beinhalten, die die Schwachstelle ermöglichte.

Der Workaround für bestehende Systeme vor dem am 20. April veröffentlichten Hotfix Update Kit: HPE SIM Service stoppen Lösche <C:ProgrammeHPSystems Insight Managerjbossserverhpsimdeploysimsearch.war> Datei aus sim installiertem Pfad del /Q /F C:ProgrammeHPSystems Insight Managerjbossserverhpsimdeploysimsearch.war Starten Sie den HPE SIM Service neu Warten Sie, bis die HPE SIM-Webseite “https://SIM_IP:50000” zugänglich ist und führen Sie den folgenden Befehl von der Eingabeaufforderung aus: mxtool -r -f toolsmulti-cms-search.xml 1>nul 2>nul

HPE SIM-Benutzer können die Verbund-Suchfunktion nach der Verwendung der Problemumgehung nicht mehr verwenden.

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook “2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com