TLP: Amber
NIVEL DE RIESGO CVSS v3.0 – 9.9 [Crítico]
Acción Requerida: Aplicar las actualizaciones de seguridad que corrigen la vulnerabilidad en vCenter Server.
Vector de ataque: Remoto.
Impacto: Elevación de privilegios.

Descripción

El equipo de desarrollo de HP ha identificado algunas vulnerabilidades que afectan a ciertas versiones de HP Device Manager, Una aplicación empresarial para gestionar y administrar dispositivos en la red. Los identificadores asignados a estas fallas son:

  1. CVE-2020-6926 (CVSS v3.0 9.9 [Crítico])
  2. CVE-2020-6927 (CVSS v3.0 8.0 [Alta])
  3. CVE-2020-6925 (CVSS v3.0 7.0 [Alta])

La primera falla es la más crítica y permite a un usuario malintencionado obtener acceso remoto y no autorizado a los recursos de red.

La segunda vulnerabilidad, permite al atacante obtener una elevación de privilegios de SYSTEM, sin embargo, esta no afecta a los clientes que utilicen una base de datos externa, y a quienes no hay instalado el servicio Postgres integrado.

La última vulnerabilidad, permite que a través de un ataque de diccionario se acceda a las cuentas administrativas locales debido a la implementación de un cifrado débil en HP Device Manager, cabe mencionar, que esta vulnerabilidad no afecta a quienes utilicen cuentas autenticadas de Active Directory.

Nivel de riesgo

  • CVSS v3.0 9.9 [Crítico]

Sistemas/tecnologías afectadas:

Vulnerabilidad CVE-2020-6925 y CVE-2020-6926

  • Todas las versiones de HP Device Manager

Vulnerabilidad CVE-2020-6927

  • Administrador de dispositivos HP 5.0.0
  • Administrador de dispositivos HP 5.0.1
  • Administrador de dispositivos HP 5.0.2
  • Administrador de dispositivos HP 5.0.3

Medidas de contención

  • Limitar el tráfico entrante de los puertos 1099 y 40002 del administrador de dispositivos a IP confiables o solo localhost.
  • Eliminar la cuenta dm_postgres de la base de datos de Postgres.
  • Actualizar la contraseña de la cuenta dm_postgres.
  • Crear una regla en el Firewall de Windows para configurar un puerto de escucha de PostgreSQL (40006) y que permita solo el acceso del host local.

Referencias