Fernwartung: Kritische Sicherheitslücken in HPE Integrated Lights-Out (iLO)

In der Fernverwaltung Integrated Lights-Out 5 von Hewlett Packard Enterprises hätten Angreifer aufgrund teils kritischer Sicherheitslücken unter anderem Schadcode einschleusen und ausführen können. Das Unternehmen hat aktualisierte Softwarepakte bereitgestellt, die die Sicherheitslecks abdichten.

Die Schwachstellen hätten laut HPE weiterhin zur Ausführung eingeschmuggelten Codes, zum Lahmlegen der Geräte (DoS), dem Abfluss vertraulicher Informationen sowie unbefugten Datenmodifikationen führen können. Genauere Details zu den Schwachstellen nennt der Hersteller nicht, jedoch Einschätzungen des Risikos.

Keine Details zu den Lücken

Vier der Sicherheitslücken stuft HPE als kritisch ein (CVE-2022-28631 und CVE-2022-28632, jeweils CVSS 9.6; CVE-2022-28627 und CVE-2022-28628, jeweils CVSS 9.3, Risiko "kritisch"). Die ersten beiden Lücken erlauben unprivilegierten Nutzern aus angrenzenden Netzwerken das Einschleusen von beliebigem Code, die letzten beiden ermöglichen das lokalen Nutzern.

Weitere sieben Schwachstellen haben die Einstufung als hohes Risiko mit CVSS-Scores von 8.1 bis 8.8 erhalten, schreibt HPE in der Sicherheitsmeldung. Die Schwachstellen dichtet die Firmware-Version HPE Integrated Lights-Out 5 (iLO 5) 2.71 oder neuer ab. Administratoren können die aktuelle Software im HPE Support Center herunterladen. Dort müssen sie den Produktnamen eingeben, aus den Vorschlägen den passenden auswählen und finden auf dem Reiter "Drivers and Software" die zum Gerät passende Fassung.

Da es sich teils um kritische Sicherheitslücken handelt, sollten Administratoren zügig handeln und die Software zeitnah herunterladen und installieren. Ansonsten laufen sie Gefahr, dass die Schwachstellen von Angreifern missbraucht werden – Anfang dieses Jahres haben Sicherheitsforscher etwa ein Rootkit entdeckt, das sich in iLO festsetzen konnte.

(dmk)