15 млн систем под угрозой
Компания HP выпустила два бюллетеня безопасности, посвященные десятку уязвимостей, из которых три относятся к числу критических, а еще восемь определены как высокоопасные. Все эти баги выявлены в протоколе удаленного управления персональными компьютерами Teradici. Под угрозой оказались примерно 15 млн эндпойнтов во всем мире.
Teradici PCoIP - это проприетарный протокол передачи данных, используемый в решениях по доставке на оконечные устройства удаленного рабочего стола (PCoverIP).
Протокол позволяет осуществлять удаленный доступ с компьютеров в дата-центрах к рабочим столам широкого спектра потребительских устройств: персональных компьютеров, ноутбуков, тонких клиентов, планшетов, мобильных телефонов и т. д. На стороне рабочих станций в центрах обработки данных может поддерживаться и аппаратная, и программная реализация захвата рабочего стола.
Протокол предусматривает сжатие, шифрование и кодирование информации об экранном буфере и обеспечивает передачу PCoIP-устройствам только данных об изменившихся пикселях.
PCoIP был разработан компанией Teradici, которую в 2021 г. купила HP. К тому времени протокол уже лицензировали и использовали Dell-Wyseruen, Amulet Hotkey, Samsung, Amazon WebServices, Fujitsu и VMware, а также сама HP, которая теперь внедрила его в ряд своих продуктов.
Наследное дело
Основная часть уязвимостей, исправленных HP, унаследованные. В частности, CVE-2022-0778 - это та же ошибка в обработке (парсинге) сертификатов безопасности, которую ранее обнаружили в протоколе OpenSSL.
С помощью специально подготовленного сертификата можно вызвать бесконечный цикл и, как следствие, отказ в обслуживании всей системы, использующей Teradici PCoIP.
Уязвимость получила оценку в 7,5 баллов (высокоопасная). Успешная атака на нее может привести к недоступности сервиса для неограниченного количества пользователей.
Три критические уязвимости, в свою очередь, выявлены в библиотеке парсинга XML Expat (libexpat). Все получили оценку в 9,8 балла по шкале угроз CVSS 3.x. Уязвимости CVE-2022-22822, CVE-2022-22823 и CVE-2022-22824 - это ошибки целочисленного переполнения, которые могут вызывать неконтролируемый расход ресурсов, а также обеспечивать хакерам возможность повышения привилегий и запуска произвольного кода.
Еще пять высокоопасных уязвимостей CVE-2021-45960, CVE-2022-22825, CVE-2022-22826, CVE-2022-22827 и CVE-2021-46143 также связаны с целочисленным переполнением.
Уязвимости затрагивают клиентское ПО PCoIP, SDK, средства обработки графики, а также стандартный агент для Windows, Linux и macOS.
Пользователям Teradici рекомендуется обновиться до версии 22.01.3 или более новой, в которой используются исправленные версии OpenSSL и libexpat.
«Наследуемые уязвимости - двойная проблема: разработчики конечных продуктов, использующих популярные внешние компоненты и библиотеки, далеко не всегда могут (и еще реже - хотят) проверять их на уязвимости, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - В итоге проблемы приходят оттуда, откуда их совсем не ждут, создавая риски для непрерывности бизнеса и сказываясь на репутации коммерческих вендоров».