Alertas de vulnerabilidade de segurança de produtos Hewlett Packard Enterprise

Três falhas relacionadas foram encontradas no manuseio do kernel do Linux da rede TCP. A vulnerabilidade mais grave poderia permitir que um invasor remoto acionasse uma pane no kernel em sistemas executando o kernel afetado, causando impacto na disponibilidade do sistema. Os problemas foram atribuídos às seguintes CVEs: 

CVE-2019-11477 : SACK Panic

CVE-2019-11478 : SACK Slowness 

CVE-2019-11479 : consumo excessivo de recursos devido a baixos valores de MSS

As duas primeiras CVEs são relacionadas aos pacotes Selective Acknowledgement (SACK) combinados com o Tamanho Máximo de Segmento (MSS) de TCP, enquanto a terceira CVE é afetada devido ao Tamanho Máximo de Segmento (MSS).

A avaliação do impacto nos produtos HPE está disponível aqui.

Mais detalhes no Centro de Suporte HPE.

Em 14 de maio de 2019, a Intel e outros parceiros do setor compartilharam detalhes e informações sobre um novo grupo de vulnerabilidades chamadas coletivamente de Microarchitectural Data Sampling (MDS).  Essas vulnerabilidades de segurança em CPUs podem permitir a divulgação de informações. A Intel está lançando atualizações de microcódigo (MCU) para minimizar essas possíveis vulnerabilidades. Elas são combinadas com as atualizações correspondentes ao sistema operacional e ao software hipervisor.

Mais detalhes estão disponíveis em CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091 e no Comunicado de Segurança Intel.

A avaliação do impacto nos produtos HPE está disponível aqui.

Mais detalhes no Centro de Suporte HPE.

Em 23 de janeiro de 2019, Stewart Smith, um pesquisador de segurança, lançou um blog divulgando ataques de nível de sistema operacional contra os componentes dos sistemas de computadores subjacentes chamados Baseband Management Controllers ou BMCs. A vulnerabilidade recebeu o apelido de Pantsdown (pego de surpresa) devido à natureza surpreendente do ataque. A CVE-2019-6260 foi atribuída a esse problema. Também foi considerado o uso desse ataque no chamado “Cloudborne” discutido na mídia. Os ataques BMC poderiam permitir a reprogramação do firmware de baixo nível, a alteração das senhas de hardware e a inoperabilidade do sistema. Os BMCs afetados de fornecedores terceirizados estão sendo avaliados, e as atualizações serão fornecidas pela HPE.

Saiba mais sobre a CVE-2019-6260, consulte o NIST NVD

A avaliação do impacto nos produtos HPE está disponível aqui

Mais detalhes no Centro de Suporte HPE

Em 22 de agosto, a Apache anunciou uma vulnerabilidade no Struts, nas versões 2.3 a 2.3.34 e 2.5 a 2.5.16, que pode sofrer uma execução remota de código no contexto do aplicativo. O Struts 2 é usado em vários produtos HPE. Para saber mais sobre a CVE-2018-11776, consulte o MITRE CVE Dictionary e o NIST NVD.

A avaliação do impacto nos produtos HPE está disponível aqui

Mais detalhes no Centro de Suporte HPE

Em 14 de agosto de 2018, a Intel descobriu novas vulnerabilidades que afetam os processadores que são compatíveis com determinadas plataformas da HPE. Essas vulnerabilidades, quando exploradas para finalidades escusas, têm o potencial de permitir a coleta indevida de dados confidenciais.

Essas vulnerabilidades usam um método de canal lateral de execução especulativa ao qual a Intel chama de Falha terminal L1 (L1TF). No momento da divulgação dessa falha, a Intel não tinha informações de que a L1TF tenha sido usada em ataques no mundo real. A Intel já liberou microcódigos atualizados em 2018, e a HPE subsequentemente os disponibilizou via atualizações do ROM do sistema. Esses microcódigos atualizados, em conjunto com as novas atualizações de software que estão sendo disponibilizadas para o sistema operacional e/ou hipervisor, permitem mitigar essas vulnerabilidades.

A Intel foi comunicada de que há uma parcela do mercado, principalmente um subconjunto daqueles que executam a tecnologia de virtualização tradicional em data centers, na qual é aconselhável a adoção de mais medidas para proteger os sistemas. Isso pode incluir a ativação de recursos específicos de programação de núcleo de hipervisor ou a desativação do hyper-threading, em situações específicas. Veja as recomendações dos fornecedores de sistemas operacionais e hipervisores.

A avaliação do impacto nos produtos HPE está disponível aqui

Mais detalhes no Centro de Suporte HPE

Em 21 de maio de 2018, foi divulgada uma vulnerabilidade que afeta todo o setor, envolvendo arquiteturas modernas de microprocessador. Com base em uma nova pesquisa sobre segurança, há métodos de análise de software que, quando usados para fins escusos, têm o potencial de coletar indevidamente dados sigilosos de dispositivos de computação que estejam em sua operação normal. Neste momento, essa vulnerabilidade é conhecida como Desvio de Armazenamento Especulativo ou Variante 4 (CVE-2018-3639). Mesmo que essa vulnerabilidade compartilhe muitas similaridades com o recém-descoberto Método de Análise de Canal Lateral (Spectre e Meltdown), essa é uma nova vulnerabilidade que requer mitigações novas e exclusivas.

A vulnerabilidade de Desvio de Armazenamento Especulativo ou Variante 4 afeta as arquiteturas de microprocessador de vários fornecedores de CPU, incluindo Intel, AMD e ARM. Para lidar com essa vulnerabilidade, os fornecedores de hardware e software de todo o setor, incluindo a HPE, estão trabalhando em conjunto para desenvolver estratégias de mitigação. No caso dos produtos baseados em Intel, isso envolve atualizações tanto do sistema operacional quanto do ROM do sistema, incluindo um novo microcódigo Intel. Para produtos baseados em AMD, a mitigação requer apenas uma atualização de sistema operacional.

Além disso, em 21 de maio de 2018, foi divulgada uma outra vulnerabilidade chamada de Carga de Registro Não Autorizada ou Variante 3A (CVE-2018-3640), que permite que um atacante acesse indevidamente os registros do processador. Essa vulnerabilidade afeta somente produtos baseados em Intel. A mitigação dessa vulnerabilidade exige apenas uma atualização de ROM do sistema, incluindo um novo microcódigo Intel. O mesmo microcódigo necessário para a mitigação do Desvio de Armazenamento Especulativo ou Variante 4 também vai mitigar a Carga de Registro Não Autorizada ou Variante 3A.

Os processadores Intel Itanium não são vulneráveis ao Desvio de Armazenamento Especulativo (CVE-2018-3639) ou Carga de Registro Não Autorizada (CVE-2018-3640).

A avaliação do impacto nos produtos HPE está disponível aqui

Mais detalhes no Centro de Suporte HPE

Em 13 de março de 2018, os CTS Labs publicaram informações relacionadas à pesquisa de vulnerabilidades de segurança que afetavam alguns produtos da AMD. Em se tratando de servidores HPE, as vulnerabilidades relevantes afetam o AMD Secure Processor (PSP) utilizado no processador AMD EPYC série 7000, usado nos servidores HPE ProLiant DL385 Gen10 e HPE Cloudline CL3150 Gen10. Nenhum outro produto de servidor HPE foi afetada por essas vulnerabilidades em potencial.

A HPE está trabalhando com a AMD, para determinar a extensão da vulnerabilidade e que precauções podem ser necessárias para mitigar qualquer exposição. Felizmente, os novos HPE DL385 Gen10 vêm com todos os novos recursos de segurança HPE, incluindo a Root of Trust de silício da HPE. Essa nova tecnologia da HPE protege contra ataques típicos de negação de serviço ou condições permanentes de negação de serviço que possam ser causadas por uma parte dessa vulnerabilidade.

Conforme a HPE, em conjunto com a AMD, tiver mais informações, vamos atualizar os boletins técnicos. Além disso, consulte esta declaração publicada pela AMD em 20 de março.

A avaliação do impacto nos produtos HPE está disponível aqui

Mais detalhes no Centro de Suporte HPE

Recentemente, foram divulgadas vulnerabilidades de segurança de canal lateral (Spectre e Meltdown) envolvendo execução especulativa. Essas vulnerabilidades podem impactar os produtos HPE listados, com o potencial de levar à divulgação de informações e elevação de privilégios. A mitigação e a resolução dessas vulnerabilidades podem exigir uma atualização do sistema operacional, fornecida pelo fornecedor do sistema operacional, e uma atualização do ROM do sistema, liberada pela HPE. A Intel forneceu uma declaração de alto nível inicial aqui.

Além disso, estamos alertando nossos clientes sobre uma declaração da Intel publicada em 22 de janeiro de 2018, relacionada a problemas associados ao patch do microcódigo Intel projetado para lidar com a vulnerabilidade de Análise de Canal Lateral. A Intel recomenda que os clientes interrompam a implantação de ROMs de sistemas HPE ProLiant, HPE Synergy, HPE Superdome Flex e HPE Superdome X que incluam o microcódigo atualizado e revertam o ROM do sistema para a versão anterior. A avaliação de impacto no link abaixo foi atualizada de acordo. Consulte o Pacote de Orientação do Cliente HPE e a Consultoria ao Cliente HPE para obter mais detalhes sobre esse problema. Informamos que o HPE ProLiant DL385 Gen10 com a atualização de microcódigo AMD está funcionando como projetado e mitigando o risco associado à vulnerabilidade Análise de Canal Lateral.

A avaliação do impacto nos produtos HPE está disponível aqui

Os links para os patches para os produtos HPE afetados estão disponíveis aqui

Mais detalhes no Centro de Suporte HPE

Recentemente, um de nossos fornecedores, a Intel, descobriu uma vulnerabilidade de segurança em potencial em seu firmware de serviços de plataforma de servidor (SPS). A vulnerabilidade de segurança afetou várias de suas arquiteturas de processador; entretanto, nem todas as arquiteturas de processador de servidor Intel impactadas são usadas nos produtos HPE. Especificamente, o firmware do SPS/ME usado na arquitetura Intel pode ser comprometido por meio de um acesso físico. Como resultado disso, um código não autenticado pode ser executado no ambiente do SPS, sem que o usuário ou o administrador do sistema operacional vejam.

Essas vulnerabilidades não afetam apenas os servidores HPE, atingindo também quaisquer sistemas usando as arquiteturas de processador Intel identificadas com as revisões de firmware impactadas.

Avaliações sobre o impacto nos produtos HPE: HTML ou planilha

Mais detalhes no Centro de Suporte HPE

Em 16 de outubro de 2017, os pesquisadores de segurança Mathy Vanhoef e Frank Piessens publicaram um relatório de pesquisa descrevendo vulnerabilidades no Wi-Fi Protected Access II (WPA2), "Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2" (“Ataques de Reinstalação de Chave: Forçando a reutilização de nonce em WPA2”, em uma tradução livre). Determinado tráfego de handshake WPA2 vulnerável pode ser manipulado para induzir a reutilização de chaves nonce e de sessão, resultando na reinstalação de chaves por um ponto de acesso sem fio (AP) ou cliente sem fio. Isso permite que um invasor dentro do alcance de um AP ou cliente sem fio afetados execute descriptografia arbitrária de pacotes, injeção de pacotes, captura de conexão TCP e injeção de conteúdo HTTP.

Essa vulnerabilidade tem os seguintes CVEs atribuídos: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

Avaliações do impacto sobre os produtos HPE: HTML ou planilha

Mais detalhes no Centro de Suporte HPE

O plugin REST no Apache Struts2 está usando um XStreamHandler com uma instância do XStream para desserialização sem nenhuma filtragem de tipo que possa levar a uma Execução de Código Remoto ao se desserializarem payloads XML. Um atacante pode usar essa falha para executar código arbitrário ou para realizar outros ataques.

Para saber mais sobre a CVE-2017-9805, consulte o dicionário MITRE CVE e o NIST NVD.

Avaliações do impacto sobre os produtos HPE: HTML ou planilha

Mais detalhes no Centro de Suporte HPE

Em 12 de maio de 2017, foi executado um ataque de ransomware de fonte desconhecida em clientes Microsoft Windows. Esse ataque fez com que PCs e servidores fossem criptografados, como parte de um tipo de ransomware de ataque de negação de serviço. Em 14 de março de 2017, a Microsoft liberou um patch para lidar com essa vulnerabilidade, o MS17-010. A Microsoft também disponibilizou informações adicionais sobre essa vulnerabilidade – MS17-010 e do NVD – CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2016-0148.

Avaliações do impacto sobre os produtos HPE: HTML ou planilha

Mais detalhes no Centro de Suporte HPE

Em 1º de maio de 2017, a Intel divulgou uma nova vulnerabilidade em seu firmware de gerenciabilidade (Intel Manageability Firmware), que é utilizado em alguns sistemas com processadores Intel. Essa vulnerabilidade permite que uma rede sem privilégios ou um invasor local consigam controlar os recursos de gerenciamento remoto das plataformas Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) e Intel Small Business Technology (SBT). Outras informações sobre essa vulnerabilidade estão disponíveis em CVE-2017-5689.

Avaliações do impacto sobre os produtos HPE: HTML ou planilha

Mais detalhes no Centro de Suporte HPE

Em 6 de março de 2017, a Apache divulgou que havia uma nova vulnerabilidade no Apache Struts 2. Essa vulnerabilidade permite execução de código remoto ao se executar o carregamento de arquivo com um analisador multipartes Jakarta usado no Apache Struts 2. Essa falha permite que um atacante envie um cabeçalho HTTP de tipo de conteúdo inválido como parte de uma solicitação de carregamento de arquivo, o que pode resultar na execução de código arbitrário no sistema vulnerável. Explorando essa falha, um atacante pode roubar dados críticos e/ou assumir o controle do sistema afetado. Outras informações sobre essa vulnerabilidade estão disponíveis em CVE-2017-5638.

Avaliação do impacto nos produtos - HTML

Avaliação do impacto nos produtos - Planilha

Detalhes adicionais

Em 19 de outubro de 2016, uma vulnerabilidade de elevação de privilégios no Linux Kernel foi divulgada. Uma condição de corrida foi encontrada na forma que o subsistema de memória do Linux Kernel lidava com a quebra de copy-on-write (COW) de mapeamentos privados de memória somente de leitura. A falha permite que um usuário local sem privilégios ganhe acesso de gravação a mapeamentos de memória que seriam somente de leitura, recebendo, assim, privilégios elevados no Linux Kernel. A vulnerabilidade é chamada de “Dirty COW”. Outras informações sobre essa vulnerabilidade estão disponíveis em CVE-2016-5195.

Avaliação do impacto nos produtos - HTML

Avaliação do impacto nos produtos - Planilha

Detalhes adicionais

Em 15 de agosto de 2016, foi divulgada uma vulnerabilidade denominada “FalseCONNECT” na implementação de HTTP 407 (autenticação de proxy necessária) para o método CONNECT. Como essas solicitações são sempre feitas em texto simples em HTTP, elas são suscetíveis a ataques man-in-the-middle que podem ser utilizados para expor as credenciais do usuário e, em algumas implementações, entregar HTML e scripts no client DOM dentro de um contexto de segurança. A aplicação, bem como a adulteração de cabeçalhos de autenticação 407 no contexto do método CONNECT pode deixar o usuário sujeito a ataques de phishing, além de downgrade de autenticação. Outras informações sobre a vulnerabilidade estão disponíveis em CERT VU#905344.

Avaliação do impacto nos produtos

Detalhes adicionais 

Em 18 de julho de 2016, foi divulgada uma vulnerabilidade no manuseio de variáveis no ambiente HTTP_PROXY por servidores da web, estruturas da web e linguagens de programação que são executadas em ambientes CGI ou semelhantes, denominada HTTPoxy. A vulnerabilidade tem origem no uso de dados fornecidos pelo usuário para definir a variável do ambiente HTTP_PROXY sem validação suficiente. Essa vulnerabilidade poderia permitir que um invasor remoto, não autenticado, realize um ataque man-in-the-middle (MITM) ou redirecione o tráfego de saída para um servidor arbitrário que pode provocar a divulgação de informações confidenciais. Outras informações sobre a vulnerabilidade estão disponíveis em CVE-HTTPoxy. 

Avaliação do impacto nos produtos - HTML

Avaliação do impacto nos produtos - Planilha

Detalhes adicionais

Em 1º de março de 2016, foi divulgado um novo ataque que está sendo chamado de DROWN – Decrypting RSA using Obsolete and Weakened eNcryption (Decifrando RSA que usa criptografia obsoleta e fraca). É um ataque entre protocolos que explora uma vulnerabilidade no SSLv2 para decifrar sessões de TLS coletadas passivamente Outras informações sobre a vulnerabilidade estão disponíveis em CVE-2016-0800.

Avaliação do impacto nos produtos 

Detalhes adicionais

Uma vulnerabilidade que afeta servidores de nomes DNS baseados em ISC BIND foi anunciada em 28 de julho de 2015. Essa vulnerabilidade poderia permitir uma Negação de Serviço explorada remotamente contra servidores de nomes executados em ISC BIND. Outras informações sobre a vulnerabilidade no tratamento de consulta no ISC BIND TKEY estão disponíveis em CVE-2015-5477.

Detalhes adicionais 

Em 16 de fevereiro de 2016, uma vulnerabilidade de buffer overflow baseado em pilha na biblioteca GNU C (glibc) foi divulgada ao público. A falha foi descoberta na função de biblioteca getaddrinfo() do glibc. Aplicativos que usam essa função podem ser explorados por invasores que executam código remoto no dispositivo afetado. Outras informações sobre a vulnerabilidade estão disponíveis no site do NIST CVE-2015-7547. 

Avaliação do impacto nos produtos 

Detalhes adicionais

Visão geral

Em 6 de agosto de 2015, na conferência de segurança Black Hat em Las Vegas, o pesquisador de segurança Christopher Domas demonstrou a instalação de um rootkit no firmware de um computador. Domas chamou a demonstração de “memory sinkhole” (buraco de memória). O ataque explorou um recurso integrado aos chips x86 fabricados desde meados dos anos 90 até o lançamento, em 2011, da série de Processadores Intel Xeon E5-2600 (isto é, Sandy Bridge-EP).

A vulnerabilidade existe no Controlador Avançado de Interrupções Programáveis (APIC), podendo permitir um ataque contra a área de memória do Modo de Gerenciamento de Sistema (SMM) usada pelo sistema operacional para fazer interface com o ambiente de inicialização, como BIOS, EFI ou UEFI. Um invasor pode explorar essa vulnerabilidade para utilizar o mais privilegiado dos modos de execução e, potencialmente, substituir os recursos protegidos no ambiente de inicialização. A demonstração usa os recursos do código UEFI para instalar um rootkit.

Impacto em potencial

A HPE investigou o impacto em potencial desse problema em nossos produtos Enterprise (isto é, servidores, armazenamento e rede) e determinou que as séries de servidores HPE ProLiant Gen8 e Gen9 não estão vulneráveis, uma vez que a Intel resolveu essa falha de design anteriormente na série de processadores Intel Xeon E5-2600 e nos modelos posteriores dos processadores de servidor. Observe que a série de processadores Intel Xeon E5-2600 é usada nos servidores ProLiant Gen8. 

Além disso, a HPE investigou o impacto em potencial desse problema nos servidores HPE ProLiant G5, G6 e G7, determinando que eles não estão vulneráveis ao ataque específico demonstrado por Christopher Domas na conferência de segurança Black Hat. A Intel está providenciando uma atualização do microcódigo desses servidores, a qual vai prevenir uma possível violação de segurança, caso seja feita uma tentativa de explorar essa vulnerabilidade. Como medida de segurança adicional, a HPE planeja implementar esse microcódigo em ROMs atualizados do sistema ProLiant, os quais serão disponibilizados para download no Centro de Suporte HPE, sem nenhum custo para os clientes.

O que você pode fazer?

Consulte esta página novamente para verificar as atualizações sobre a disponibilidade de ROMs de sistema atualizados para os servidores ProLiant séries G5, G6, e G7.

Detalhes adicionais

Em 9 de julho de 2015, o OpenSSL divulgou uma falha na maneira em que cadeias de certificados alternativos são verificadas. Ela só afeta as versões do OpenSSL lançadas desde junho de 2015: v1.0.2c, v1.0.2b, v1.0.1o e v1.0.1n. A exploração dessa vulnerabilidade poderia permitir que um invasor contorne algumas verificações de validação de certificados, possibilitando a emissão de um certificado inválido. Outras informações sobre a vulnerabilidade VENOM estão disponíveis no site do NIST CVE-2015-1793. 

Detalhes adicionais

Em 13 de maio de 2015, foi anunciada uma vulnerabilidade no código da unidade de disquete virtual usada por muitas plataformas de virtualização. A exploração dessa vulnerabilidade poderia permitir que um invasor escape da máquina virtual (VM) para convidados afetada e possivelmente execute o código no host. Outras informações sobre a vulnerabilidade VENOM estão disponíveis no site do NIST CVE-2015-3456.

Detalhes adicionais

Em 27 de janeiro de 2015, uma vulnerabilidade de buffer overflow na biblioteca GNU C (glibc) foi divulgada ao público. A falha foi descoberta no conjunto de funções gethostbyname da biblioteca GNU C (glibc) e poderia ser usada para executar códigos arbitrários. Outras informações sobre a vulnerabilidade estão disponíveis no site do NIST CVE-2015-0235.

Detalhes adicionais

Em 14 de outubro de 2014, uma vulnerabilidade no protocolo SSLv3 foi divulgada. Uma exploração dessa vulnerabilidade poderia permitir que um invasor decifre partes de tráfego criptografado via um ataque POODLE (Padding Oracle on Downgraded Legacy Encryption). Outras informações sobre a vulnerabilidade POODLE no SSLv3 estão disponíveis no site do NIST CVE-2014-3566.

Detalhes adicionais

Uma vulnerabilidade recente no Bash, que afeta sistemas operacionais baseados em Unix, tais como Linux e Mac OS X, foi anunciada em 24 de setembro de 2014. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário no sistema afetado. Mais informações sobre esse problema estão disponíveis em CVE-2014-7169.

Detalhes adicionais