OneView

Die Schwachstelle betrifft HPE OneView, die Management-Software von Hewlett Packard Enterprise (HPE) zur zentralen Verwaltung von Server- und Rechenzentrumsinfrastruktur. Es handelt sich um eine Code-Injection-Lücke: Ein Angreifer kann eigenen Programmcode einschleusen, der anschließend vom betroffenen System ausgeführt wird. Ausnutzen lässt sich der Defekt aus der Ferne und ohne vorherige Anmeldung – der Angreifer benötigt also weder gültige Zugangsdaten noch einen bestehenden Zugang zur Verwaltungsoberfläche. Im Ergebnis kann er beliebigen Code auf dem System ausführen und so die Kontrolle über die Verwaltungsumgebung übernehmen. Da OneView als zentrale Steuerungsschicht für eine Vielzahl angebundener Server und Infrastrukturkomponenten dient, reicht die Tragweite über das einzelne System hinaus: Wer die Verwaltungsplattform kontrolliert, kann auf die darüber administrierten Geräte und deren Konfiguration einwirken. Besonders exponiert ist die Software überall dort, wo ihre Schnittstelle über das Netz erreichbar ist.