HP ออกแพตช์อุดช่องโหว่หลายรายการใน Device Manager

HP ได้ประกาศออกช่องโหว่หลายรายการบน Device Manager ซึ่งอาจนำไปสู่การสร้าง Backdoor บนเครื่องผู้ใช้ได้

HP Device Manager เป็นเครื่องมือสำหรับบริการจัดการเครื่อง Thin Client ของ Admin โดยมีการออกแพตช์อุดช่องโหว่ร้ายแรงถึง 3 รายการ ซึ่งอาจถูกใช้ประกอบกันเพื่อเข้ายึดเครื่องได้

ช่องโหว่ร้ายแรงมีรายละเอียดดังนี้

• CVE-2020-6925 – กระทบกับ Device Manager ทุกเวอร์ชัน ซึ่งบัญชีผู้ใช้มีจุดอ่อนจาก Dictionary Attack เพราะ Cipher อ่อนแอ แต่ไม่ส่งผลกระทบต่อบัญชีจาก AD
• CVE-2020-6926 – ช่องโหว่ที่ช่วยให้คนร้ายจากทางไกลสามารถเข้าถึงทรัพยากรโดยไม่ต้องพิสูจน์ตัวตนได้
• CVE-2020-6927 – ช่องโหว่ที่คนร้ายสามารถได้รับสิทธิ์ระดับ SYSTEM ผ่านทางบัญชี Backdoor ในฐานข้อมูล PostgreSQL ได้ อย่างไรก็ตามไม่กระทบกับผู้ใช้งานฐานข้อมูลจากภายนอก เช่น Microsoft SQL Server หรือที่ไม่ได้ติดตั้งบริการ PostgreSQL เอาไว้

ผู้ใช้งานสามารถอัปเดต Device Manager เวอร์ชัน 5.0.4 เพื่อแก้ไขปัญหา CVE-2020-6927 ได้ที่นี่ ส่วน CVE-2020-6925 และ CVE-2020-6926 ยังไม่มีแพตช์ออกมา ซึ่ง HP ได้แนะวิธีการบรรเทาปัญหาไปพลางก่อนได้ตามขั้นตอนด้านล่าง

• จำกัดการเข้าถึงให้ Device Manager ที่พอร์ต 1099 และ 40002 ให้เข้าได้แค่ไอพีที่มั่นใจ
• ลบบัญชี dm_postgres จากฐานข้อมูลออก หรืออัปเดตรหัสผ่านใหม่ให้บัญชีด้วย Device Manager Configuration Manager 
• สร้าง Firewall inbound Rule ให้พอร์ต Listening 40006 เป็น Localhost เท่านั้น

ที่มา : https://www.bleepingcomputer.com/news/security/hp-device-manager-backdoor-lets-attackers-take-over-windows-systems/