[English]Der zur Verwaltung von Clients genutzte HP Device Manager scheint in manchen Versionen eine Backdoor in Form eines vorkonfigurierten Benutzerkontos in einer Datenbank zu haben. Das reißt eine Sicherheitslücke unter dem genutzten Windows, über die Angreifer das System übernehmen könnten.
Anzeige
Der HP Device Manager (HPDM) ist eine serverbasierte Anwendung, die leistungsstarke zentrale Verwaltungsfunktionen für Thin Client-Geräte, auf denen HP-Software ausgeführt wird bereitstellt. Der HPDM ermöglicht ein zentralisiertes Management aller Thin Client-Betriebssysteme von HP, und bietet eine Task-basierte Thin Client-Verwaltung etc. Der HPDM ist als ein System ausgelegt, das auf dem arbeitsteiligen Zusammenwirken zwischen Konsolen, einem Server und Gatewaykomponenten beruht. Details lassen sich beispielsweise im HPDM 4.6-Handbuch nachlesen.
Backdoor durch eingebautes User-Konto
Ich bin über einen Tweet von The Register auf diesen Sachverhalt aufmerksam geworden. Über den HP Device Manager (HPDM) ist wegen einer Backdoor eine Übernahme des Servers durch beliebige Nutzer netzwerkweit möglich.
Aufgedeckt hat das Nic Bloor, Gründer von Cognitous Cyber Security, der dazu auf Twitter Ende September 2020 eine Reihe an Tweets mit Hinweisen zur Absicherung absetzte.
Anzeige
PSA: Do you or your clients use HP thin clients and manage them with HP Device Manager? I strongly advise you, firstly, to log on to all servers running HP Device Manager and set a strong password for the "dm_postgres" user of the "hpdmdb" Postgres database on TCP port 40006 1/4
This can be done by running "psql.exe -h 127.0.0.1 -p 40006 -d hpdmdb -U dm_postgres", then when prompted for a password type a single space character to log in, then enter "\password" and type a new password at the prompt. This user is NOT used by the application. 2/4
Secondly, I strongly advise firewalling off TCP ports 1099, 40002, and 40006. The dm_postgres database user account can be used to execute commands, read files, and write files as SYSTEM locally, but TCP 1099 and 40002 provide a means to achieve this remotely, pre-auth. 3/4
TCP ports 1099 and 40002 also leak HPDM usernames and MD5 password hashes to remote unauthenticated users. There are likely more issues with this service, but that's for someone else to work out, I'm done with this one. 4/4
The Register hat es in diesem Beitrag etwas aufbereitet. Ein HP-Entwickler hat wohl ein unsicheres Benutzerkonto in einer Datenbank, die vom HP Device Manager (HPDM) benutzt wird, eingerichtet. Nicky Bloor fand heraus, dass dieses Konto ausgenutzt werden kann, um eine Privilegieneskalation zu erreichen und in Verbindung mit anderen Fehlern eine nicht autorisierte Remote Code-Ausführung als SYSTEM durchzuführen. Damit kann ein System komplett übernommen werden.
Denn der HPDM läuft normalerweise auf einem Windows-basierten Server und verwaltet mehrere Windows-Clients. Wer eine anfällige Installation dieses HPDM in einem Netzwerk erreichen kann, bekommt auf Administratorebene die Kontrolle über den Rechner und die von ihm kontrollierten Thin-Clients.
Bloor, der mit The Register in Kontakt steht, sagte, dass er sich mit der Sicherheit des HPDM befasst und eine Reihe von ausnutzbaren Schwachstellen entdeckt habe. Die gravierendste Schwachstelle sei ein verstecktes PostgreSQL-Datenbank-Benutzerkonto, das er durch die Untersuchung einer der Software beiliegenden Protokolldatei identifizierte. Die Protokolldateien lieferten Hinweise auf die Existenz des versteckten Benutzerkontos, welches bei Kenntnis der Zugangsdaten als Backdoor genutzt werden kann.
"Dies war ein privilegiertes Benutzerkonto mit einem Passwort, das aus einem einzigen Leerzeichen bestand", sagte Bloor. "Der einzige Hinweis auf das Benutzerkonto befand sich in einer Datenbank-Protokolldatei, die der HP Device Manager-Software beilag und in der Protokolleinträge aus der Zeit vor der Installation der Software eingesehen werden können."
Bloor sagte, diese Schwachstelle sei in den aktuellen Versionen der HPDM-Software vorhanden. Er ist sich aber nicht nicht sicher, welche früheren Versionen der Software betroffen sein könnten. Er gibt an, dass er HP am 3. August 2020 kontaktiert habe, um Einzelheiten über die Schwachstellen bekannt zu geben. HP reagierte nicht. Erst als er schrieb, dass er vorhabe, die Details in 30 Tagen zu veröffentlichen, falls das Unternehmen weiterhin blockiert, antwortete HP am 19. August 2020, dass der Industriestandard für die koordinierte Offenlegung von Schwachstellen 90 Tage betrage.
Man erbat sich so viel Zeit zur Erstellung eines Patches, ohne eine von Bloors Fragen zu beantworten. Zu diesem Zeitpunkt, so Bloor, habe HP noch nicht bestätigt, dass es die Berichte über die Schwachstellen geprüft und verstanden habe. Und es habe auch keinen Vorschlag für eine Abschwächung oder einen Zeitplan zur Behebung der Schwachstellen gegeben.
Bloor war nicht geneigt, einfach auf HP zu warten. "Ich werde dafür bezahlt, Menschen bei der Sicherung ihrer IT-Umgebungen und Anwendungen zu helfen, aber ich habe auch nicht die Zeit, HP hinterherzulaufen und zu hoffen, dass sie eines Tages in '90+ Tagen' einen Patch erstellen, der mir hilft, die Umgebungen meiner Kunden zu sichern", wird er von The Register zitiert. "Der Fix für den schwerwiegendsten Teil des Problems ist trivial, also sind 90+ Tage ein Witz." Um zu unterstreichen, wie einfach das Problem zu beheben ist, hat er diesen Prozess der Serie der weiter oben zitierten Tweets beschrieben. Ein Security Advisory Seitens HP wäre vermutlich in wenigen Stunden erstellt, was aber nicht passiert ist. Weitere Details sind dem The Register-Artikel zu entnehmen. Irgend jemand von Euch, der den HP Device Manager im Einsatz hat?
Anzeige
Bin ich betroffen?
Nö, absolut nicht. Weshalb? Weil ich derlei Anwendungen nicht mehr installiere. K.I.S.S.-Prinzip, nur noch nötige Treiber-Applikationen vom jeweiligen Chiphersteller und Nutzprogramme.
Seit Jahren schon bekleckern sich Hersteller wie HP oder Dell nicht mit Ruhm, was die Seriösität ihrer Anwendungen angeht.
Eingebauter Key-Logger bei HP Notebooks gefällig?
https://thehackernews.com/2017/05/hp-audio-driver-laptop-keylogger.html
Man muß seit jeher besondere Vorkehrungen bei Produkten aus dem Land des "Patriot Acts" treffen, so traurig es ist. Nicht nur der "grausame Ivan" oder der ach so böse Chinese schnüffeln, was das Zeug hält.
Viel mehr Sorgen machen mir in Hardware implementierte Hintertüren, die spontan nicht auffallen und sich auch nicht gleich bemerkbar machen. Ohne sach- und fachkundige Ausbildung und Dokumentation (setzt Open Source voraus) kann man niemals eine potentielle Hintertür gänzlich ausschliessen.
Ja, wir haben den Device Manager im Einsatz, weil dadurch die Verwaltung der ThinClients einfacher geht (Image aufspielen, umbenennen, …)
Ein Problem daran: nach recht kurzer Zeit fliegen die ThinClients aus der Unterstützung und man kann dann beispielsweise keine Images mehr aufspielen. Umgekehrt werden neuere Geräte aber nur von der jeweils neuesten Version unterstützt (aktuell: das Ziehen eines Images startet zwar, das Gerät ist dann aber in einem unbenutzbaren Zustand)