近日,惠普企业(HPE)披露了HPESystemsInsightManager(SIM)软件专用版Windows和Linux版本的0-day安全漏洞。HPESIM软件是适用于多个HPE服务器、存储和网络产品的远程支持自动化解决方案。漏洞概述0-day漏洞是一个远程代码执行漏洞,CVE编号为CVE-2020-7200,CVSS评分为9.8,属于高危漏洞。该漏洞影响HPESystemsInsightManager(SIM)7.6.x版本。攻击者可以利用该漏洞实现提权,并在无需用户交互的情况下完成其他攻击。产生该漏洞的原因是由于无法验证用户提供的数据的有效性,可能导致不可信数据被反序列化,从而使攻击者可以利用它在服务器上执行易受攻击的代码。HPE并未在安全公告中明确确认该0-day漏洞是否存在于野外。由于HPESIM支持Linux和Windows操作系统,目前HPE只发布了针对Windows系统的缓解措施来阻断攻击,并表示正在修复0-day漏洞。缓解措施HPE在安全公告中提出了针对该漏洞的临时修复方案:禁用“联合搜索”和“联合CMS配置”功能。使用HPESIM管理软件的系统管理员必须按照以下步骤来阻止CVE-2020-7200攻击:停止HPESIM服务;del/Q/F从sim安装路径C:\ProgramFiles\HP\SystemsInsightManager\jboss\server\hpsim\deploy\simsearch.war删除C:\ProgramFiles\HP\SystemsInsightManager\jboss\server\hpsim\deploy\simsearch.war文件;重新启动HPESIM服务;等待访问HPESIM网页https://SIM_IP:50000,执行以下命令:mxtool-r-ftools\multi-cms-search.xml1>nul2>nul安全公告说完整的补丁可以防止远程代码执行漏洞将尽快发布。本文翻译自:https://www.bleepingcomputer.com/news/security/hpe-discloses-critical-zero-day-in-server-management-software/
