HPE chiude un bug critico in Edgeline Infrastructure Manager

Disponibile la patch per una vulnerabilità di HPE Edgeline Infrastructure Manager con punteggio CVSS di 9.8. Le versioni senza patch aprono al rischio di attacchi di authentication-bypass da remoto.

Business Vulnerabilità
Le versioni di HPE Edgeline Infrastructure Manager (EIM) antecedenti alla 1.21 sono soggette a una vulnerabilità critica a cui è associato un punteggio CVSS di 9.8. Un attaccante può approfittare di un sistema privo di patch per eseguire un attacco di authentication-bypass da remoto e infiltrarsi nell'infrastruttura cloud dell'azienda. Non sono soggette al bug le versioni HPE EIM v1.22 e successive.

La sigla identificativa della falla è CVE-2021-29203 ed è stata identificata e segnalata ad HPE dagli esperti di sicurezza di Tenable research. Sono influenzate oltre una dozzina di versioni del software, in esecuzione su sistemi operativi CentOS 7, Red Hat Enterprise Linux, SUSE e diverse versioni di Windows (qui c'è l'elenco completo delle versioni e dei sistemi operativi interessati).

Secondo Tenable, la vulnerabilità in questione è legata a un problema relativo al modo in cui HPE gestisce le reimpostazioni delle password degli account Administrator. Gli esperti spiegano che quando l'utente accede per la prima volta all'applicazione Web con la password predefinita per l'account Administrator, gli viene richiesto di modificare la password. Tale modifica viene eseguita inviando una richiesta all'URL /redfish/v1/SessionService/ResetPassword/1. Tuttavia, in seguito a questa operazione, un attaccante remoto non autenticato può utilizzare lo stesso URL per reimpostare la password per l'account Administrator.

hpe eimA questo punto, l'attaccante può sfruttare il protocollo SSH (Secure Socket Shell) mediante riga di comando per accedere al sistema ed eseguire comandi remoti. Si tratta di uno strumento del tutto legittimo, impiegato dagli amministratori di rete per accedere da remoto ai computer della rete.

I ricercatori di Tenable Research hanno pubblicato anche un proof of concept dell'attacco che hanno simulato. Per questo è imperativo installare il prima possibile le correzioni. In genere non passa molto tempo fra la pubblicazione delle patch e l'inizio degli attacchi, perché i criminali informatici tentano di approfittare del ritardo nel patching che in genere affligge moltissime aziende.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori