11. 06. 2013

Sdružení CERT vydalo varování (Vulnerability Note VU#324668) před několika zranitelnostmi v produktu HP Insight Diagnostics 9.4.0.4710, který slouží jako serverový nástroj pro správu HW zařízení v síti.

Chyby umožňují využít typ útoku remote code-injection, což je termín používaný pro způsob útoku, kdy je škodlivý kód vložen přímo do programu/scriptu vzdáleně z vnějšího zdroje. Tento škodlivý kód je pak většinou vykonán s administrátorskými právy a bez vědomí vlastníka serveru.

U HP Insight Diagnostics 9.4.0.4710 je možné, při využití kombinace všech tří objevených chyb, aby útočník spustil vzdáleně libovolné PHP příkazy na cizím serveru s oprávněními správce. Jsou-li využity pouze dvě, umožňuje to útočníkovi vložení libovolných dat do souboru uloženého v libovolném místě pomocí parametru "DevicePath" (nebo "mount" u nižších verzí).

V současné době nejsou známy žádné opravné prostředky od dodavatele SW pro vyřešení tohoto problému. Doporučením je omezit přístup k síti pouze na spojení z důvěryhodných hostitelů a sítí a zabránit tak útočníkovi v připojení ke zranitelné službě.