IT 管理者が HP シンクライアント デバイスを管理できるようにするソフトウェアである HP Device Manager には、ネットワーク セキュリティを弱体化させるバックドア データベース ユーザー アカウントが付属していると、英国を拠点とするコンサルタントが警告しています。
Cognitous Cyber Securityの創設者であるNicky Bloor氏は、HP社のプログラマーがHP Device Manager(HPDM)内のデータベースに安全でないユーザーアカウントを設定した可能性があると報告しています。Bloor氏は、このアカウントを悪用することで権限昇格が可能になり、他の脆弱性と組み合わせることで、SYSTEM権限で不正なリモートコマンド実行が可能になることを発見しました。
これは危険です。ネットワーク上でこのデバイスマネージャーの脆弱なインストールにアクセスできれば、そのマシンとそれが制御するシンクライアントを管理者レベルで制御できるようになります。HPDMは通常、Windowsベースのサーバー上で実行され、複数のWindowsクライアントを制御します。
ブロア氏は火曜日、 The Reg紙に対し、HPDMのセキュリティを調査していた際に、悪用可能な脆弱性をいくつか発見したと語った。その中で最も懸念されるのは、ソフトウェアに付属するログファイルを調査することで特定したバックドアデータベースユーザーアカウントだとブロア氏は述べた。このログファイルには、ソフトウェアの開発中にデバイスマネージャーのPostgreSQLデータベースに対して行われた操作の詳細が記録されており、この隠しユーザーアカウントの存在が明らかになった。
HPデバイスマネージャーがインストールされているサーバーにアクセスできる人は誰でも、このユーザーアカウントを使用してサーバーを完全に制御できます。
「これは特権ユーザーアカウントで、パスワードは1文字のスペースで構成されていました」とブロア氏は述べた。「このユーザーアカウントへの唯一の参照は、HPデバイスマネージャーソフトウェアに付属するデータベースログファイルにあり、ログエントリはソフトウェアをインストールする前のものまで遡って確認できました。」
ブロア氏によると、ログエントリにはHPDMが使用するデータベースユーザーアカウントの認証に失敗した試みが記録されているという。その後、新しいユーザーアカウントに関連付けられたログエントリが続き、HPのプログラマーがバックドアユーザーアカウントが他の新しいアカウントの作成に利用されるのを制限しようとしていたように見える。まるで開発者がバックドアアカウントへのアクセスによるセキュリティへの影響を制限しようとしていたかのようだ、とブロア氏は述べた。
「HP Device Manager がインストールされているサーバーにアクセスできる人なら誰でも、このユーザー アカウントを使用してサーバーを完全に制御できる」と Bloor 氏は述べ、これはローカル権限の昇格に該当すると指摘した。
HP、ストレージ製品にバックドアがあることを認める
続きを読む
「しかし、HP Device Managerのデフォルト設定に新たな脆弱性を発見しました。この脆弱性はリモートから悪用される可能性があり、HPDMが稼働しているサーバーに接続できる人なら誰でもそのサーバーを完全に制御できるようになります」と彼は述べた。「そこから、HPDMは環境内のHPシンクライアントに対する完全な管理権限を提供します。」
ブロア氏は、この脆弱性はHPDMソフトウェアの現在のバージョンに存在しており、以前のどのバージョンのソフトウェアが影響を受けるかは不明だと述べた。
同氏はさらに、2020年8月3日にHPに連絡を取り、脆弱性の詳細を明らかにし、このIT大手に対し、欠陥の影響を理解していることを確認し、問題解決の意図を提案し、修正を実施するための合理的な期間を示すよう求めたと付け加えた。
HPは、ブロア氏の質問には一切答えず、ブロア氏が、HPが引き続き対応を拒む場合は30日以内に詳細を公表する予定だと説明するまで、反応がなかったという。その時点でHPは、脆弱性の協調的な開示の業界標準は90日であり、修正プログラムの作成にはその期間が必要だと回答したという。
それは2020年8月19日のことでした。その時点では、HPは脆弱性レポートを検討して理解したことを認めておらず、緩和策や解決のタイムラインも提案していませんでした、とブロア氏は語りました。
ブロア氏はHPの対応をただ待つつもりはなかった。「私は人々のIT環境とアプリケーションのセキュリティ確保を支援するために報酬を得ていますが、HPに『90日以上』待たせて、いつかクライアントの環境を保護できるパッチをリリースしてくれることを期待する時間はありません」と彼は述べた。「問題の最も深刻な部分の修正は簡単なので、90日以上というのは冗談です。」
この問題の解決がいかに簡単かを強調するため、彼は一連のツイートでそのプロセスを説明した。
PSA: お客様やお客様のクライアントはHPシンクライアントをご利用で、HP Device Managerで管理されていますか?まず、HP Device Managerが稼働しているすべてのサーバーにログオンし、TCPポート40006 1/4のPostgresデータベース「hpdmdb」の「dm_postgres」ユーザーに強力なパスワードを設定することを強くお勧めします。
— ニッキー・ブロア(@nickstadb)2020年9月29日
HPは火曜日の夜、 The Register宛てのメールでセキュリティ上の失態を認め、複数の脆弱性ID(CVE-2020-6925(脆弱な暗号)、CVE-2020-6926(リモートメソッド呼び出し)、CVE-2020-6927(権限昇格))を割り当て、顧客に注意喚起するためのアドバイザリを公開したと発表しました。ちなみに、このCVE-2020-6926の脆弱性は、CVSSの深刻度で10点満点中9.9点です。
システム管理者は、脆弱性に対処するために、HP Device Manager 5.0.4、または HP Device Manager 4.7 Service Pack 13 (提供開始時) にアップデートすることを強く推奨します。
HP Device Manager のすべてのバージョンは、弱い暗号とリモート呼び出しの脆弱性の影響を受けており、5.0.0 から 5.0.3 では権限昇格の脆弱性の影響を受けます。®
