HPE Insight Remote Support: Monitoring-Software ermöglicht Codeschmuggel

vor 1 Tag 1

Die von HPE kostenlos angebotene Monitoring-Software HPE Insight Remote Support ist anfällig für das Einschleusen von Schadcode. Zudem warnt der Hersteller vor weiteren Sicherheitslücken in der Software.

In der Sicherheitsmitteilung bleibt HPE sehr oberflächlich bezüglich der Schwachstellen. Die Dringlichkeit schätzt der Hersteller als "hoch" ein, die Auswirkungen beschreibt er als Codeausführung, Directory Traversal und Informationsabfluss "aus der Ferne" (Remote). Am gravierendsten ist eine Directory-Traversal-Lücke in der Software, die Angreifern das Einschmuggeln und Ausführen beliebigen Codes erlaubt (CVE-2024-53676, CVSS 9.8, Risiko "kritisch").

Nur oberflächliche Lückenbeschreibungen

Genauere Informationen zu der Schwachstelle nennt HPE nicht. Es bleibt unklar, wie Angreifer sie ausnutzen können, wie Angriffe zu erkennen sind oder was mögliche temporäre Gegenmaßnahmen wären. Eine weitere Sicherheitslücke ist betrifft die Deserialisierung von Daten in Java, wodurch nicht authentifizierte Angreifer Code einschleusen können (CVE-2024-53673, CVSS 8.1, hoch). Auch hier gibt HPE keine weiteren hilfreichen Informationen heraus.

Drei weitere Schwachstellen (CVE-2024-11622, CVE-2024-53674, CVE-2024-53675) erreichen mit einem CVSS-Wert von 7.3 ebenfalls eine Bewertung als hohes Risiko. Verwundbar ist HPE Insight Remote Support vor der nun veröffentlichten Version 7.14.0.629. Diese oder neuere sollten Admins, die die Software in ihrem Netz einsetzen, zügig installieren, um die Angriffsfläche in ihrem Netzwerk zu minimieren.

HPE Insight Remote Support ist eine Monitoring-Software, die HPE-Kunden kostenlos in ihrem Netzwerk installieren können. Sie sammelt Informationen von HPE-Servern und -Geräten ein und teilt sie mit dem HPE-Support. Sofern Probleme mit den Geräten auftreten, kann der technische Support frühzeitig reagieren und Lösungen dafür einleiten.

Monitoring-Software für Netzwerke weist immer wieder Sicherheitslücken auf. Vor etwa zwei Wochen musste etwa Icinga eine kritische Sicherheitslücke bei der Zertifikatsüberprüfung schließen. Angreifer konnten dadurch vertrauenswürdige Cluster-Knoten und API-Nutzer imitieren und Befehle einschleusen.

(dmk)

Gesamten Artikel lesen
  1. Startseite
  2. Technologie
  3. HPE Insight Remote Support: Monitoring-Software ermöglicht Codeschmuggel

Verwandte

Rumänien wirft Tiktok Begünstigung von rechtem Extremisten vor

Rumänien wirft Tiktok Begünstigung von rechtem Extremisten v...

vor 29 Minuten 0
BSI warnt vor unseriösen Anbietern beim Black Friday

BSI warnt vor unseriösen Anbietern beim Black Friday

vor 37 Minuten 0
Mini-PCs mit eingebauten Netzteilen sowie auch Intel N150

Mini-PCs mit eingebauten Netzteilen sowie auch Intel N150

vor 41 Minuten 0

Trending

1. Habeck
2. Thanksgiving
3. Stuttgart
4. BVB
5. Knaus Tabbert
6. Margot Friedländer
7. Eis
8. Real Madrid
9. VfB Stuttgart
10. Rubel

Populär

Gesichtstreffer inklusive: Flipper-Tor bringt Lille in Führung

Gesichtstreffer inklusive: Flipper-Tor bringt Lille in Führu...

vor 20 Stunden 1
Schon wieder verlängert: Freiburg belohnt Rosenfelder

Schon wieder verlängert: Freiburg belohnt Rosenfelder

vor 4 Stunden 1
Im Eilverfahren beschlossen: Australien bekommt Social-Media-Verbot für Kinder

Im Eilverfahren beschlossen: Australien bekommt Social-Media...

vor 4 Stunden 1
Real-Debrid: Beliebter Streaming-Dienst setzt starke Anti-Piraterie-Maßnahmen um

Real-Debrid: Beliebter Streaming-Dienst setzt starke Anti-Pi...

vor 4 Stunden 1
ARD in Russland: "Es ist ein drastischer Einschnitt"

ARD in Russland: "Es ist ein drastischer Einschnitt"

vor 4 Stunden 1
Über uns · Für Werbetreibende · Kontakt · Allgemeine Geschäftsbedingungen · Datenschutzrichtlinie · Impressum ·

© Domain Auction s.r.l. - VAT IT02622890065 - Via Vescovado 18 - 15121 Alessandria, Italy . Alle Rechte vorbehalten