Risiken durch ungepatchte HPE-Server

Sicherheitsexperten werden nicht müde, ein möglichst schnelles Einspielen von Sicherheits-Patches zu predigen. Trotzdem finden sich in vielen Unternehmen immer wieder Systeme, die sich aus unterschiedlichen Gründen auf einem alten Patch-Level befinden und deswegen nicht selten voller Sicherheitslücken sind. Ein aktuelles Beispiel dafür sind Enterprise-Server von HPE, die mit iLO (Integrated Lights-Out) gemanaged werden. Eine einzige Zeile Code soll schon ausreichen, um ernsthaften Schaden auf ungepatchten Servern von HPE anzurichten.
Die dafür ausgenutzte Sicherheitslücke wurde von HPE schon in der iLO-Version 2.53 geschlossen. Die Schwachstelle wurde vom National Institute of Standards and Technology (NIST) auf einer bis 10 reichenden Skala mit dem Score 9,8 für „kritisch“ eingestuft. Der Server-Hersteller wollte zunächst jedoch keine weiterenb Details zu der in CVE-2017-12542 beschriebenen Lücke veröffentlichen. Mitarbeiter von Airbus, Synacktiv und Insomnihack haben jedoch ein Whitepaper mit einer Beschreibung möglicher Angriffswege veröffentlicht.

Quelle: Risiken durch ungepatchte HPE-Server – com! professional