TLP: Amber
NIVEL DE RIESGO CVSS v3.1 – 9.8 [Crítico]
Acción Requerida: Aplicar la solución temporal publicada por HPE a los sistemas afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código.

Descripción

Hewlett Packard Enterprise (HPE) reveló una vulnerabilidad de día cero en una de las recientes versiones para Windows y Linux de sus sistemas “Systems Insight Manager” (SIM), el cual es una solución de automatización de gestión y soporte remoto para múltiples servidores y productos de redes HPE. El identificador asignado a esta falla es CVE-2020-7200 (CVSS v3.1: 9.8 [Crítico]).

Esta falla podría permitir que usuarios maliciosos sin privilegios realicen ataques de baja complejidad que no requieren la interacción del usuario.

La vulnerabilidad es ocasionada por una falta de validación de los datos proporcionados por el usuario, la cual puede resultar en la deserialización de datos haciendo posible que un usuario malicioso lo aproveche para ejecutar código en servidores con una versión del software vulnerable.

Al día de hoy, las actualizaciones de seguridad aún no están disponibles para esta vulnerabilidad, sin embargo, HPE ha proporcionado información de mitigación para prevenir de manera temporal la falla en Windows y está trabajando para poder erradicar la vulnerabilidad de día cero. Si bien, HPE SIM viene con soporte para los sistemas operativos Linux y Windows, hasta el momento, HPE solo emitió información de mitigación para bloquear ataques contra sistemas Windows.

Nivel de riesgo

  • CVSS v3.1: 9.8 [Crítico]

Sistemas/tecnologías afectadas:

  • HPE Systems Insight Manager (SIM) 7.6.x

Medidas de erradicación

Referencias