HP waarschuwt voor ernstig lek in serverbeheertool iLO 4

[Captain Kirk]

HP heeft een waarschuwing afgegeven voor een ernstig beveiligingslek in een tool waarmee HP-servers op afstand worden beheerd. Via de kwetsbaarheid in Integrated Lights-out 4 (iLO 4) kan een aanvaller op afstand toegang tot servers krijgen en daarop willekeurige code uitvoeren.

Vanwege de impact van de kwetsbaarheid adviseert HP om zo snel als mogelijk in actie te komen. Integrated Lights-out is een technologie om HP-servers op afstand mee te beheren. De iLO-kaart heeft een aparte netwerkverbinding en een eigen ip-adres, waarmee via https verbinding kan worden gemaakt. Vervolgens is het onder andere mogelijk om de server te resetten, in te schakelen en de remote system console of command-line interface te benaderen.

HP stelt dat een aanvaller via de kwetsbaarheid de authenticatie kan omzeilen en willekeurige code kan uitvoeren. Op een schaal van 10 heeft het beveiligingslek een 9,8 en een 10 gekregen. Organisaties krijgen dan ook het advies om HPE Integrated Lights-out 4 (iLO 4) firmware versie 2.53 of nieuwer zo snel als mogelijk te installeren, aangezien het probleem daarin is verholpen.

 

 

bron: security.nl