Phần mềm HP Device Manager có 3 lỗ hổng nghiêm trọng, hacker có thể kiểm soát thiết bị Windows

HP vừa đưa ra một thông báo bảo mật chia sẻ chi tiết về 3 lỗ hổng nghiêm trọng trong phần mềm HP Device Manager. Khai thác những lỗ hổng này, hacker có thể chiếm quyền kiểm soát hệ thống máy tính Windows.

HP Device Manager được các quản trị viên sử dụng để quản lý từ xa các thiết bị HP thin Clients. Những thiết bị này bao gồm cả laptop và máy tính HP, sử dụng tài nguyên từ máy chủ trung tâm cho các tác vụ khác nhau.

Khi kết hợp thành chuỗi, các lỗ hổng vừa được nhà nghiên cứu bảo mật Nick Bloor phát hiện ra có thể cho phép hacker chiếm quyền điều khiển thệ thống từ xa. Theo HP, hacker có thể truy cập từ xa trái phép, đánh cắp thông tin cũng như thực hiện các phương thức tấn công khác.

Ba lỗ hổng trên HP Device Manager được đặt tên mã CVE-2020-6925, CVE-2020-6926 và CVE-2020-6927 với mức độ nguy hiểm lần lượt là 7.0, 9.9 và 8.0. CVE-2020-6925 ảnh hưởng tới toàn bộ các phiên bản HP Device Manager và làm lộ các tài khoản được quản lý bởi HP Device Manager do triển khai mật mã không đủ mạnh.

Trong khi đó, CVE-2020-6926 là một lỗ hổng cho phép hacker thực thi các phương thức tấn công từ xa, ảnh hưởng tới tất cả các phiên bản HP Device Manager. Lỗ hổng này cho phép kẻ tấn công truy cập trái phép vào tài nguyên, dữ liệu trên hệ thống từ xa.

Cuối cùng, CVE-2020-6927 cho phép hacker giành được đặc quyền kiểm soát hệ thống thông qua backdoor dữ liệu người dùng trong cơ sở dữ liệu PostgreSQL.

Khi kết hợp các lỗ hổng này lại với nhau, hacker có thể chiếm quyền kiểm soát toàn bộ hệ thống máy tính của nạn nhân. Từ đó, chúng sẽ đánh cắp dữ liệu, truy cập trái phép tài nguyên và triển khai những phương thức tấn công khác...

Các biện pháp giảm thiểu thiệt hại sẵn có

HP khuyến cáo khách hàng nên tải xuống phiên bản HP Device Manager 5.0.4 để bảo vệ hệ thống trước các cuộc tấn công khai thác lỗ hổng CVE-2020-6927. HP chưa có giải pháp nào để khắc phục các lỗ hổng CVE-2020-6925 và CVE-2020-6926.

Tuy nhiên, một số biện pháp khác mà HP khuyến cáo người dùng sử dụng để giảm thiểu một phần rủi ro bao gồm:

• Chỉ cho phép các IP đáng tin cậy và máy chủ cục bộ truy cập vào các cổng Device Manager 1099 và 40002
• Xóa tài khoản dm_postgre khỏi cơ sở dữ liệu; hoặc
• Cập nhật mật khẩu cho tài khoản dm_postgre trong HP Device Manager Configuration Manager (trước đó tài khoản này sử dụng mật khẩu là 1 khoảng trắng); hoặc
• Trong cấu hình Windows Firewall tạo ra một quy tắc inbound để cấu hình cổng 40006 PostgerSQL chỉ dành cho máy chủ cục bộ truy cập.