近日,Hewlett Packard Enterprise (HPE) 公布了HPE Systems Insight Manager (SIM)手机软件专用版Windows 和Linux 版本的一个0 day安全性漏洞。HPE SIM手机软件是多HPE 网络服务器、储存和网络营销产品的远程控制适用自动化技术解决方法。
漏洞简述
该0 day漏洞是一个远程控制执行命令漏洞,CVE序号为CVE-2020-7200,CVSS得分为9.8分,为高风险漏洞。漏洞危害HPE Systems Insight Manager (SIM) 7.6.x版本。攻击者利用该漏洞可以在不用客户互动的情形下完成管理权限提高,并进行别的进攻。
漏洞造成的因素是因为沒有对客户带来的信息开展有效认证,很有可能会造成不能信数据信息的反序列化,促使攻击者可以利用其在云服务器上实行有漏洞的编码。
HPE在安全性公示中并没确立确定该0 day漏洞是不是存有在野利用。
因为HPE SIM适用Linux 和Windows 电脑操作系统,但现阶段HPE 只对于Windows 系统软件公布了减轻对策来阻拦进攻,合称已经修补该0 day漏洞。
减轻对策
HPE在安全性公示中明确提出了漏洞的临时性修补提议:禁止使用"Federated Search"和"Federated CMS Configuration"特点。应用HPE SIM管理系统软件的网站管理员务必依照以下流程才可以阻拦CVE-2020-7200 进攻:
- 终止 HPE SIM服务项目;
- 从sim的安装路径del /Q /F C:\Program Files\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war 删掉C:\Program Files\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war 文档;
- 重新启动 HPE SIM 服务项目;
- 等候 浏览HPE SIM web页面https://SIM_IP:50000,实行如下所示指令:
- mxtool-r-ftools\multi-cms-search.xml1>nul2>nul
安全性公示称,阻拦该远程控制执行命令漏洞的详细补丁包将尽早公布。
文中翻譯自:
https://www.bleepingcomputer.com/news/security/hpe-discloses-critical-zero-day-in-server-management-software/