WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
HPE tiết lộ lỗ hổng 0-day nghiêm trọng trong phần mềm quản lý máy chủ
Công ty Hewlett Packard Enterprise (HPE) vừa tiết lộ một lỗ hổng 0-day trong phiên bản mới nhất của phần mềm HPE Systems Insight Manager (SIM) dành riêng cho Windows và Linux.
Mặc dù chưa có bản cập nhật bảo mật cho lỗ hổng thực thi mã từ xa (RCE) trên, HPE đã đưa ra các hướng dẫn nhằm giảm thiểu vấn đề trên Windows và đang nỗ lực xử lý triệt để lỗ hổng.
0-day là các lỗ hổng đã được tiết lộ nhưng chưa được nhà cung cấp cập nhật bản vá. Các lỗ hổng này có thể đang bị khai thác tích cực trong thực tế hoặc đã bị công khai cách thức khai thác (PoC).
HPE SIM là giải pháp tự động hóa hỗ trợ từ xa và quản lý cho nhiều máy chủ HPE, sản phẩm lưu trữ và mạng, bao gồm nhưng không giới hạn Máy chủ HPE ProLiant Gen10 và HPE ProLiant Gen9.
Lỗ hổng RCE nghiêm trọng
Lỗ hổng được báo cáo thông qua chương trình tìm kiếm lỗ hổng Zero Day Initiative của hãng Trend Micro và ảnh hưởng đến HPE Systems Insight Manager (SIM) 7.6.x.
Lỗ hổng được đánh số CVE-2020-7200 và HPE đánh giá là nghiêm trọng khi cho phép tin tặc dễ dàng thực hiện tấn công mà không cần tương tác của người dùng.
Lỗ hổng bắt nguồn từ việc xác thực không chính xác dữ liệu do người dùng cung cấp, dẫn đến việc giải mã dữ liệu không đáng tin cậy và kẻ tấn công có thể lợi dụng để thực thi mã trên các máy chủ chạy phần mềm tồn tại lỗ hổng.
HPE không tiết lộ liệu lỗ hổng này có đang bị khai thác trong thực tế hay không.
HPE SIM hỗ trợ cả hai hệ điều hành Linux và Windows, tuy nhiên HPE chỉ đưa ra thông tin hướng dẫn giảm thiểu nguy cơ tấn công trên Windows.
Các biện pháp giảm thiểu
Hewlett Packard Enterprise yêu cầu người dùng tắt các tính năng "Tìm kiếm liên kết" (Federated Search) và "Cấu hình CMS liên kết" (Federated CMS Configuration) để ngăn lỗ hổng bị khai thác.
Công ty này cũng cho biết sẽ phát hành bản vá lỗi hoàn chỉnh trong tương lai.
Quản trị viên hệ thống sử dụng phần mềm quản lý HPE SIM được khuyến cáo phải tuân thủ quy trình sau để chặn tấn công:
1. Dừng Dịch vụ HPE SIM
2. Xóa C:\Program Files\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war file from sim installed path del /Q /F C:\Program Files\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war
3. Khởi động lại Dịch vụ HPE SIM
4. Chờ trang web HPE SIM "https://SIM_IP:50000" to be accessible and execute the following command from a command prompt. mxtool -r -f tools\multi-cms-search.xml 1>nul 2>nul
Theo HPE, khi đã triển khai quy trinhg trên, người dùng HPE SIM sẽ không thể sử dụng tính năng tìm kiếm liên hợp nữa.
0-day là các lỗ hổng đã được tiết lộ nhưng chưa được nhà cung cấp cập nhật bản vá. Các lỗ hổng này có thể đang bị khai thác tích cực trong thực tế hoặc đã bị công khai cách thức khai thác (PoC).
HPE SIM là giải pháp tự động hóa hỗ trợ từ xa và quản lý cho nhiều máy chủ HPE, sản phẩm lưu trữ và mạng, bao gồm nhưng không giới hạn Máy chủ HPE ProLiant Gen10 và HPE ProLiant Gen9.
Lỗ hổng RCE nghiêm trọng
Lỗ hổng được báo cáo thông qua chương trình tìm kiếm lỗ hổng Zero Day Initiative của hãng Trend Micro và ảnh hưởng đến HPE Systems Insight Manager (SIM) 7.6.x.
Lỗ hổng được đánh số CVE-2020-7200 và HPE đánh giá là nghiêm trọng khi cho phép tin tặc dễ dàng thực hiện tấn công mà không cần tương tác của người dùng.
Lỗ hổng bắt nguồn từ việc xác thực không chính xác dữ liệu do người dùng cung cấp, dẫn đến việc giải mã dữ liệu không đáng tin cậy và kẻ tấn công có thể lợi dụng để thực thi mã trên các máy chủ chạy phần mềm tồn tại lỗ hổng.
HPE không tiết lộ liệu lỗ hổng này có đang bị khai thác trong thực tế hay không.
HPE SIM hỗ trợ cả hai hệ điều hành Linux và Windows, tuy nhiên HPE chỉ đưa ra thông tin hướng dẫn giảm thiểu nguy cơ tấn công trên Windows.
Các biện pháp giảm thiểu
Hewlett Packard Enterprise yêu cầu người dùng tắt các tính năng "Tìm kiếm liên kết" (Federated Search) và "Cấu hình CMS liên kết" (Federated CMS Configuration) để ngăn lỗ hổng bị khai thác.
Công ty này cũng cho biết sẽ phát hành bản vá lỗi hoàn chỉnh trong tương lai.
Quản trị viên hệ thống sử dụng phần mềm quản lý HPE SIM được khuyến cáo phải tuân thủ quy trình sau để chặn tấn công:
1. Dừng Dịch vụ HPE SIM
2. Xóa C:\Program Files\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war file from sim installed path del /Q /F C:\Program Files\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war
3. Khởi động lại Dịch vụ HPE SIM
4. Chờ trang web HPE SIM "https://SIM_IP:50000" to be accessible and execute the following command from a command prompt. mxtool -r -f tools\multi-cms-search.xml 1>nul 2>nul
Theo HPE, khi đã triển khai quy trinhg trên, người dùng HPE SIM sẽ không thể sử dụng tính năng tìm kiếm liên hợp nữa.
Theo Bleepingcomputer