惠普设备管理器后门使攻击者可以接管Windows系统

10月3日早间消息：近日惠普发布了一份安全公告，详细介绍了HP设备管理器中的三个严重漏洞和严重漏洞，这些漏洞可能导致系统接管。

管理员使用HP Device Manager远程管理HP瘦客户机，这些瘦客户机使用中央服务器的资源来执行各种任务。

如果将它们链接在一起，则安全研究员Nick Bloor发现的安全漏洞可能使攻击者可以远程获取运行易受攻击的HP Device Manager版本的目标设备的SYSTEM特权，从而可以完全控制系统。

惠普表示，对易受攻击的设备的潜在安全影响还包括“字典式攻击，对资源的未经授权的远程访问以及特权的提升”。

可链接的安全漏洞

跟踪三个HP Device Manager安全漏洞为CVE-2020-6925，CVE-2020-6926和CVE-2020-6927。

CVE-2020-6925影响所有版本的HP Device Manager，并且由于密码实施较弱而使本地HP Device Manager托管帐户受到字典攻击(不会影响使用Active Directory身份验证帐户的客户。)

CVE-2020-6926是所有版本的HP Device Manager中的远程方法调用漏洞，使远程攻击者能够获得对资源的未授权访问。

CVE-2020-6927的弱点是，它可能允许攻击者通过PostgreSQL数据库中的后门数据库用户获得SYSTEM特权(使用的密码只是一个空格)。

惠普解释说，最后一个错误不会影响惠普“正在使用外部数据库(Microsoft SQL Server)并且尚未安装集成Postgres服务的客户”。

Bloor告诉BleepingComputer：“通过对Java RMI服务的未经身份验证的访问和一个SQL注入漏洞，启用了本质上的远程访问，该漏洞允许重新配置Postgres并使用此后门用户帐户建立直接连接。”

“结合其他一些漏洞，导致未经身份验证的远程命令执行方式为SYSTEM，” Bloor解释说。

HP设备管理器漏洞，其严重性等级和CVE的列表可在下面的表格中找到。

可以采取的缓解措施

客户可以下载HP Device Manager 5.0.4，以保护其系统免受可能利用CVE-2020-6927特权提升弱点的潜在攻击。

HP尚未发布安全更新来解决影响HP瘦客户端管理软件的CVE-2020-6925和CVE-2020-6926安全问题。

但是，该公司为客户提供了补救步骤，这些步骤应至少部分缓解安全风险。

IT管​​理员可以采取的缓解漏洞的缓解措施的完整列表包括：

将对设备管理器端口1099和40002的传入访问限制为仅受信任的IP或本地主机

从Postgres数据库中删除dm_postgres帐户;要么

在HP Device Manager配置管理器中更新dm_postgres帐户密码;要么

在Windows防火墙配置中，创建入站规则，以配置PostgreSQL侦听端口(40006)仅用于本地主机访问。