HP Device Manager: Datenbank-Backdoor reißt Windows-Sicherheitslücke

[English]Der zur Verwaltung von Clients genutzte HP Device Manager scheint in manchen Versionen eine Backdoor in Form eines vorkonfigurierten Benutzerkontos in einer Datenbank zu haben. Das reißt eine Sicherheitslücke unter dem genutzten Windows, über die Angreifer das System übernehmen könnten.

Der HP Device Manager (HPDM) ist eine serverbasierte Anwendung, die leistungsstarke zentrale Verwaltungsfunktionen für Thin Client-Geräte, auf denen HP-Software ausgeführt wird bereitstellt. Der HPDM ermöglicht ein zentralisiertes Management aller Thin Client-Betriebssysteme von HP, und bietet eine Task-basierte Thin Client-Verwaltung etc. Der HPDM ist als ein System ausgelegt, das auf dem arbeitsteiligen Zusammenwirken zwischen Konsolen, einem Server und Gatewaykomponenten beruht. Details lassen sich beispielsweise im HPDM 4.6-Handbuch nachlesen.

Backdoor durch eingebautes User-Konto

Ich bin über einen Tweet von The Register auf diesen Sachverhalt aufmerksam geworden. Über den HP Device Manager (HPDM) ist wegen einer Backdoor eine Übernahme des Servers durch beliebige Nutzer netzwerkweit möglich.

Aufgedeckt hat das Nic Bloor, Gründer von Cognitous Cyber Security, der dazu auf Twitter Ende September 2020 eine Reihe an Tweets mit Hinweisen zur Absicherung absetzte.

PSA: Do you or your clients use HP thin clients and manage them with HP Device Manager? I strongly advise you, firstly, to log on to all servers running HP Device Manager and set a strong password for the "dm_postgres" user of the "hpdmdb" Postgres database on TCP port 40006 1/4

This can be done by running "psql.exe -h 127.0.0.1 -p 40006 -d hpdmdb -U dm_postgres", then when prompted for a password type a single space character to log in, then enter "\password" and type a new password at the prompt. This user is NOT used by the application. 2/4

Secondly, I strongly advise firewalling off TCP ports 1099, 40002, and 40006. The dm_postgres database user account can be used to execute commands, read files, and write files as SYSTEM locally, but TCP 1099 and 40002 provide a means to achieve this remotely, pre-auth. 3/4

TCP ports 1099 and 40002 also leak HPDM usernames and MD5 password hashes to remote unauthenticated users. There are likely more issues with this service, but that's for someone else to work out, I'm done with this one. 4/4

The Register hat es in diesem Beitrag etwas aufbereitet. Ein HP-Entwickler hat wohl ein unsicheres Benutzerkonto in einer Datenbank, die vom HP Device Manager (HPDM) benutzt wird, eingerichtet. Nicky Bloor fand heraus, dass dieses Konto ausgenutzt werden kann, um eine Privilegieneskalation zu erreichen und in Verbindung mit anderen Fehlern eine nicht autorisierte Remote Code-Ausführung als SYSTEM durchzuführen. Damit kann ein System komplett übernommen werden.

Denn der HPDM läuft normalerweise auf einem Windows-basierten Server und verwaltet mehrere Windows-Clients. Wer eine anfällige Installation dieses HPDM in einem Netzwerk erreichen kann, bekommt auf Administratorebene die Kontrolle über den Rechner und die von ihm kontrollierten Thin-Clients.

Bloor, der mit The Register in Kontakt steht, sagte, dass er sich mit der Sicherheit des HPDM befasst und eine Reihe von ausnutzbaren Schwachstellen entdeckt habe. Die gravierendste Schwachstelle sei ein verstecktes PostgreSQL-Datenbank-Benutzerkonto, das er durch die Untersuchung einer der Software beiliegenden Protokolldatei identifizierte. Die Protokolldateien lieferten Hinweise auf die Existenz des versteckten Benutzerkontos, welches bei Kenntnis der Zugangsdaten als Backdoor genutzt werden kann.

"Dies war ein privilegiertes Benutzerkonto mit einem Passwort, das aus einem einzigen Leerzeichen bestand", sagte Bloor. "Der einzige Hinweis auf das Benutzerkonto befand sich in einer Datenbank-Protokolldatei, die der HP Device Manager-Software beilag und in der Protokolleinträge aus der Zeit vor der Installation der Software eingesehen werden können."

Bloor sagte, diese Schwachstelle sei in den aktuellen Versionen der HPDM-Software vorhanden. Er ist sich aber nicht nicht sicher, welche früheren Versionen der Software betroffen sein könnten. Er gibt an, dass er HP am 3. August 2020 kontaktiert habe, um Einzelheiten über die Schwachstellen bekannt zu geben. HP reagierte nicht. Erst als er schrieb, dass er vorhabe, die Details in 30 Tagen zu veröffentlichen, falls das Unternehmen weiterhin blockiert, antwortete HP am 19. August 2020, dass der Industriestandard für die koordinierte Offenlegung von Schwachstellen 90 Tage betrage.

Man erbat sich so viel Zeit zur Erstellung eines Patches, ohne eine von Bloors Fragen zu beantworten. Zu diesem Zeitpunkt, so Bloor, habe HP noch nicht bestätigt, dass es die Berichte über die Schwachstellen geprüft und verstanden habe. Und es habe auch keinen Vorschlag für eine Abschwächung oder einen Zeitplan zur Behebung der Schwachstellen gegeben.

Bloor war nicht geneigt, einfach auf HP zu warten. "Ich werde dafür bezahlt, Menschen bei der Sicherung ihrer IT-Umgebungen und Anwendungen zu helfen, aber ich habe auch nicht die Zeit, HP hinterherzulaufen und zu hoffen, dass sie eines Tages in '90+ Tagen' einen Patch erstellen, der mir hilft, die Umgebungen meiner Kunden zu sichern", wird er von The Register zitiert. "Der Fix für den schwerwiegendsten Teil des Problems ist trivial, also sind 90+ Tage ein Witz." Um zu unterstreichen, wie einfach das Problem zu beheben ist, hat er diesen Prozess der Serie der weiter oben zitierten Tweets beschrieben. Ein Security Advisory Seitens HP wäre vermutlich in wenigen Stunden erstellt, was aber nicht passiert ist. Weitere Details sind dem The Register-Artikel zu entnehmen. Irgend jemand von Euch, der den HP Device Manager im Einsatz hat?