Уязвимость в HP Integrated Lights-Out 3 может привести к отказу в обслуживании

Компания Hewlett Packard Enterprise (HP) выпустила исправление безопасности для уязвимости (CVE-2017-8987) в аппаратном обеспечении для удаленного управления Integrated Lights-Out 3 (iLO 3), которым оснащены серверы HP ProLiant.

HP iLO 3 состоит из физической карты с отдельным сетевым соединением, использующимся для удаленного управления устройством. Уязвимость может быть проэксплуатирована удаленным злоумышленником для атаки, которая может привести к отказу в обслуживании.

По словам исследователей безопасности из компании Rapid7, обнаруживших проблему, после успешной эксплуатации уязвимости, атакующий может в течение 10 минут проникнуть в сеть, после чего системная служба безопасности перезагрузит устройство iLO3. После компрометации сети злоумышленник может заблокировать учетную запись администратора и вызывать серьезные проблемы в центре обработки данных.

При успешной эксплуатации уязвимости в устройствах с прошивкой v1.88 может наблюдаться ряд сбоев. В частности, открытые SSH-сессии могут перестать отвечать, новые сеансы SSH не устанавливаться, пользователи не смогут войти на web-портал, а страница авторизации не будет загружена.

Компания рекомендует пользователям как можно быстрее обновить прошивку до версии v1.89.