Kolejne dziury w narzędziach do centralnego zarządzania. Tym razem zawinił HP

Narzędzie HP Device Manager, służące do inwentaryzacji i scentralizowanego zarządzania sprzętem wyprodukowanym przez HP, zawiera bardzo poważny błąd. Oprogramowanie można skłonić do uruchomienia dowolnego kodu z uprawnieniami SYSTEM, przejmując kontrolę nad stacją roboczą. Podatność można wykorzystać lokalnie oraz przez sieć. HP wydało notatkę HPSBHF03689, która została dziś zaktualizowana o szczegóły problemu i identyfikatory CVE. Problem wyceniono na 9.9 w skali CVSS, więc jest to kolejna dziura z cyklu "game over".

Kolejne dziury w narzędziach do centralnego zarządzania (fot.  Gerd Altmann,  Pixabay)
Kolejne dziury w narzędziach do centralnego zarządzania (fot. Gerd Altmann, Pixabay)
Kamil J. Dudek

30.09.2020 23:09

Urządzenia przeznaczone na stacje robocze zawierają wiele narzędzi do centralnego zarządzania. Jest nim na przykład Intel Active Management Technology, udostępniający niskopoziomowy dostęp do sprzętu i takie cuda, jak niezależny od systemu zdalny pulpit (remote KVM). Poza dostawcą platformy vPro, swoje narzędzia oferuje tez sam producent sprzętu. Do ich obsługi służy HP Device Manager.

Programy do centralnego zarządzania końcówkami z definicji działają na zasadach backdoora: stosują np. infrastrukturę sterownika umożliwiającego inwentaryzację sprzętu, flashowanie kontrolerów i firmware'u UEFI, badanie sprawności urządzenia i tym podobne. Wszystkie te czynności jednocześnie wymagają bardzo wysokich uprawnień (wręcz bezpośredniego dostępu do sprzetu) oraz posiadają uproszczony interfejs, którym teoretycznie nie da się zrobić sobie krzywdy.

Dobre praktyki? Co takiego?

Wydawałoby się, że takie oprogramowanie musi być rozwijane ze szczególną ostrożnością. Musi być ona zachowana zarówno po stronie końcówek obsługiwanych przez takie rozwiązanie, jak i samego serwera. HP Device Manager jest właśnie taką "drugą stroną": stanowi konsolę zarządzania stacjami. Wykorzystuje do działania bazę danych PostgreSQL lub Microsoft SQL Server.

Jak informuje Nicky Bloor z firmy Cognitous Cyber Security, HP Device Manager stosuje w swojej (dostępnej przez sieć) bazie danych backdoor w postaci nieudokumentowanego użytkownika o haśle " ". Jego istnienie zdradzają... logi z działania wbudowanej bazy, dostarczane razem z programem! Zawierają one historię użycia jej na maszynie programisty tworzącego narzędzie. HP nazwało ten problem "użycie słabego szyfru ułatwiającego ataki słownikowe". Piękne określenie na hasło-spację.

Słabe hasło, możliwość zdalnego wykonania procedur oraz zdalnego podniesienia uprawnień wynikały z rażącego niedopatrzenia autorów oraz dziwnej architektury, gdzie baza jest dostępna nie przez aplikację, a "tak po prostu". Żadne nowoczesne metody wytwarzania oprogramowania i tysięczne poprawki wdrożenia metodyki agile nie pomogą, gdy programiści wielkich firm dostarczają software z hasłem w formie spacji, zbudowany z dołączonymi logami i symbolami.

Złote rady producenta

HP zignorowało zgłoszenie od odkrywcy, przyparte do muru poprosiło o 90 (!) dni na poprawienie spacji w haśle, by wreszcie wydać publiczną notatkę w której opisuje dziurę. Możemy w niej przeczytać o wyrafinowanych środkach zaradczych, jakimi są:

  • Usunięcie konta-backdoora z bazy danych
  • Ustawienie mocnego hasła dla konta-backdoora
  • Skonfigurowanie systemowej zapory tak, by baza danych była dostępna tylko lokalnie (ponieważ najwyraźniej nie jest to domyślna konfiguracja)
  • Pobranie wersji 5.0.4 zawierającej łatkę
  • Pobranie wkrótce dostępnego dodatku Service Pack 13 (!!) do wersji 4.7

Dzięki takim hecom, jak papierowe uwierzytelnianie w HP, publikowanym pod koniec miesiąca, nie musimy czekać na drugi wtorek miesiąca by zapewnić sobie dozę ekscytacji dziurami w Windows lub Intel AMT. Dla przypomnienia: Windows ostatnio wpuszczał do AD jako Domain Admin bez hasła (10/10 CVSS), a Intel ME umożliwiał zdalne wykonanie kodu z podwyższonymi prawami (9.8/10 CVSS).

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (18)