As versões 5.0.3 e anteriores, e a versão 4.7 antes do service pack 13 do HP Device Manager (HPDM), usado para gerenciar thin clients HP, vêm com uma configuração mal feita que pode ser utilizada como backdoor, colocando em risco o Windows que o hospeda. Essa possibilidade está numa conta de usuário pré-configurada em um banco de dados Postgres. O risco é elevado e por meio dessa conta invasores podem assumir o controle do sistema. A descoberta foi anunciada pelo pesquisador britânio Nicky Bloor, fundador da Cognitous Cyber Security, que postou uma série de tweets a partir de 29 de setembro de 2020 contendo conselhos para mitigar essa vulnerabilidade.
Nicky Bloor descobriu que essa conta poderia ser explorada para a obtenção de escalonamento de privilégios e, em conjunto com outros bugs, conseguir execução remota de código não autorizado. Em geral, segundo o pesquisador, o HPDM é executado em um servidor baseado em Windows e gerencia vários clientes. “Qualquer pessoa que consiga realizar uma instalação vulnerável desse HPDM em uma rede obtém controle de administrador da máquina e dos thin clients que ela controla”, afirmou.
Veja isso
Bugs em ferramenta de suporte da HP expõem PCs a ataques
HP adere a programa para segurança de impressoras
Bloor disse que essa é a vulnerabilidade mais séria, mas afirmou que existem outras: “Essa era uma conta de usuário privilegiado, com uma senha que consistia em um único espaço”, disse Bloor ao jornal The Register. “A única referência à conta do usuário estava em um arquivo de registro de banco de dados que acompanha o software HP Device Manager, onde as entradas de registro anteriores à instalação do software podem ser visualizadas”.
Ele afirma que entrou em contato com a HP em 3 de agosto de 2020 para fornecer detalhes sobre as vulnerabilidades. A HP não respondeu. Ela só deu uma resposta quando ele avisou que pretendia divulgar os detalhes em 30 dias. A HP respondeu em 19 de agosto de 2020 afirmando que o padrão da indústria para divulgação coordenada de vulnerabilidades era de 90 dias.
Foi o tempo que a HP solicitou para criar um patch, sem responder a nenhuma das perguntas de Bloor. Naquela época, disse Bloor, a HP ainda não havia confirmado que havia revisado e compreendido os relatórios de vulnerabilidade. Também não houve qualquer proposta de mitigação ou um cronograma para corrigir as vulnerabilidades.
Com agências internacionais