Een kritieke bug in de HP Device Manager laat aanvallers toe om vanop afstand administratorprivileges te verwerven over een hele vloot van beheerde toestellen.
De HP Device Manager bevat een kritiek lek. Aanvallers die zich toegang kunnen verwerven tot de server waarop de Device Manager draait, kunnen een reeks van bugs misbruiken om administratortoegang te krijgen tot de software en de toestellen die de Device Manager beheert. Dat ontdekte beveiligingsonderzoeker Nicky Bloor van Cognitous Cyber Security.
De kern van het probleem ligt bij een ingebouwde account voor een database die bij de Device Manager hoort. Het lijkt er op dat een HP-programmeur voor het eigen gemak een achterpoortje heeft ingebouwd met een zwak wachtwoord tijdens de ontwikkeling. De achterpoort werd echter vergeten en staat nog steeds wagenwijd open. Het wachtwoord van het account in kwestie zou een eenvoudige spatie zijn.
In combinatie met enkele kleinere bugs kan een aanvaller inloggen op de database en zich uiteindelijk systeemprivileges verwerven. Zo krijgt de hacker meteen administratortoegang tot alle toestellen die door de HP Device Manager beheerd worden. In de praktijk zijn dat Thin Clients.
Weinig reactie van HP
Bloor maakte zijn bevindingen over aan HP, dat volgens de specialist bijzonder koeltjes reageerde. Het bedrijf zou niet zijn ingegaan op de vraag om een tijdslijn voor een patch en mitigatie voor te stellen en evenmin de ernst van de bug hebben erkend. Bloor werd zelfs genegeerd tot hij dreigde zijn ontdekking publiek te maken. Uiteindelijk werkte HP onvoldoende mee en maakte de man de kwetsbaarheid bekend, samen met een mitigatietechniek. Volgens Bloor is de bug heel ernstig maar tegelijkertijd ook eenvoudig te verhelpen door HP, wat de reactie (of het gebrek daaraan) van het bedrijf onbegrijpelijk maakt.
Intussen reageerde HP wel. Het postte informatie over het probleem op zijn website waar het meteen de CVE-id’s deelt. Het probleem met het account aan de basis van de kwetsbaarheid krijgt de noemer CVE-2020-6926 mee en wordt voorzien van een ernstigheidsscore van 9,9. Alle versies van de HP Device Manager zijn getroffen. Een update is nog niet beschikbaar, officiële mitigatietechnieken wel.
Oplossing
Je kan:
- Toegang tot de Device Manger via poort 1099 en 40002 beperken tot vertrouwde IP-adressen of lokale toegang
- Het dm_postgres-account van de Postgres-database verwijderen
- Het dm_postgres-account een nieuw wachtwoord geven via de configuratiemanager
De drie opties moeten het probleem in afwachting van een patch oplossen. Het ziet er naar uit dat HP een erg grote blunder heeft gemaakt door het achterpoortaccount zo in zijn finale software te laten zitten. Als Bloor een correct beeld geeft van de reactie van HP op zijn poging om het lek op een verantwoorde manier aan te kaarten, maakt dat de situatie enkel pijnlijker.