Beveiligingsadvies NCSC-2024-0043 [1.00] [M/H] Kwetsbaarheden verholpen in Hewlett Packard OneView

NCSC

Hewlett Packard heeft kwetsbaarheden verholpen in OneView. Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorie├źn schade:

Cross-Site Request Forgery (XSRF)
Denial-of-Service (DoS)
Omzeilen van authenticatie
(Remote) code execution (Administrator/Root rechten)
Verhoogde gebruikersrechten

NCSC-2024-0043 [1.00] [De kans op misbruik van deze kwetsbaarheid is gemiddeld en de schade is hoog] Kwetsbaarheden verholpen in Hewlett Packard OneView

Hewlett Packard Enterprise (HPE) heeft recentelijk kwetsbaarheden verholpen in hun product OneView, een infrastructuurbeheerplatform voor datacenters. Deze kwetsbaarheden konden misbruikt worden door kwaadwillenden om verschillende vormen van schade aan te richten.

Een van de kwetsbaarheden was Cross-Site Request Forgery (XSRF), waarbij een aanvaller misleidende verzoeken vanaf een legitieme gebruiker kan uitvoeren, wat kan leiden tot ongeautoriseerde acties binnen het platform. Daarnaast waren er mogelijkheden voor Denial-of-Service (DoS) aanvallen, waarbij een aanvaller het platform kan overbelasten en onbruikbaar maken voor legitieme gebruikers.

Een andere kwetsbaarheid was het omzeilen van authenticatie, waardoor een aanvaller toegang kon krijgen tot het platform zonder de juiste inloggegevens. Daarnaast was er het risico van (Remote) code execution, wat zou kunnen leiden tot het verkrijgen van administrator of root rechten en het uitvoeren van schadelijke code op het systeem.

Dankzij de verholpen kwetsbaarheden is de kans op deze vormen van schade aanzienlijk verminderd. HPE adviseert gebruikers dan ook om zo snel mogelijk de patches en updates te installeren om hun systemen te beschermen tegen mogelijke aanvallen.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Oplossing beschikbaar via advisories.ncsc.nl