Sicherheitsupdates: HP Device Manager anfällig für Wörterbuch-Attacken
Angreifer könnten mit weitreichenden Rechten auf Systeme mit HP Device Manager zugreifen. Eine Lücke gilt als kritisch.
Admins, die Systeme mit HP Device Manager verwalten, sollten die Software zügig auf den aktuellen Stand bringen. In der aktuellen Versionen haben die Entwickler drei Sicherheitslücken geschlossen.
Eine Sicherheitslücke (CVE-2020-6926) ist mit dem Bedrohungsgrad "kritisch" eingestuft. In einer Warnemldung schreibt HP, dass entfernte Angreifer nach einer erfolgreichen Attacke auf nicht näher beschriebene Ressourcen zugreifen könnten. Wie Attacken im Detail ablaufen könnten, geht aus der Warnung nicht hervor. HP rät Admins dringend dazu, die Software auf den aktuellen abgesicherten Stand zu bringen.
Angreifer mit System-Rechten
Die von den beiden anderen Schwachstellen (CVE-2020-6925, CVE-2020-6927) ausgehende Gefahr ist mit der Bewertung "hoch" versehen. Aufgrund einer fehlerhaften Cipher-Implementierung könnten Angreifer Systeme mit Wörterbuch-Attacken zu Leibe rücken. Durch das erfolgreiche Ausnutzen der dritten Lücke sind Zugriffe mit System-Rechten vorstellbar.
Kommen mit Active Directory authentifizierte Accounts zum Einsatz, sind Systeme von der Schwachstelle mit der Kennung CVE-2020-6925 nicht betroffen. Das gleiche gilt für CVE-2020-6927, wenn eine externe Datenbank (Microsoft SQL Server) läuft und die internen Postgres-Services nicht installiert sind.
Die Version HP Device Manager 5.0.4 ist abgesichert. Die reparierte Ausgabe HP Device Manager 4.7 Service Pack 13 soll zeitnah folgen. Wer die 4.7-Version einsetzt, sollte die Workarounds aus der Warnmeldung befolgen, um Systeme abzusichern. Dazu gehört unter anderem die Abschottung nach außen, sodass nur vertrauenswürdige IP-Adressen auf die Ports 1099 und 40002 zugreifen dürfen.
(des)