Спецпроекты

Безопасность

Найдены бреши в популярном протоколе удаленного управления ПК. Под угрозой 15 млн устройств

Компания HP исправила три критические и целый ряд высокоопасных уязвимостей в протоколе управления удаленными системами Teradici PCoIP. Уязвимости унаследованы от сторонних компонентов.

15 млн систем под угрозой

Компания HP выпустила два бюллетеня безопасности, посвященные десятку уязвимостей, из которых три относятся к числу критических, а еще восемь определены как высокоопасные. Все эти баги выявлены в протоколе удаленного управления персональными компьютерами Teradici. Под угрозой оказались примерно 15 млн эндпойнтов во всем мире.

Teradici PCoIP — это проприетарный протокол передачи данных, используемый в решениях по доставке на оконечные устройства удаленного рабочего стола (PCoverIP).

Протокол позволяет осуществлять удаленный доступ с компьютеров в дата-центрах к рабочим столам широкого спектра потребительских устройств: персональных компьютеров, ноутбуков, тонких клиентов, планшетов, мобильных телефонов и т. д. На стороне рабочих станций в центрах обработки данных может поддерживаться и аппаратная, и программная реализация захвата рабочего стола.

proger_600.jpg
HP предупредила о серии критических уязвимостей в протоколе удаленного управления Teradici PCoIP

Протокол предусматривает сжатие, шифрование и кодирование информации об экранном буфере и обеспечивает передачу PCoIP-устройствам только данных об изменившихся пикселях.

PCoIP был разработан компанией Teradici, которую в 2021 г. купила HP. К тому времени протокол уже лицензировали и использовали Dell-Wyseruen, Amulet Hotkey, Samsung, Amazon WebServices, Fujitsu и VMware, а также сама HP, которая теперь внедрила его в ряд своих продуктов.

Наследное дело

Основная часть уязвимостей, исправленных HP, унаследованные. В частности, CVE-2022-0778 — это та же ошибка в обработке (парсинге) сертификатов безопасности, которую ранее обнаружили в протоколе OpenSSL.

С помощью специально подготовленного сертификата можно вызвать бесконечный цикл и, как следствие, отказ в обслуживании всей системы, использующей Teradici PCoIP.

Уязвимость получила оценку в 7,5 баллов (высокоопасная). Успешная атака на нее может привести к недоступности сервиса для неограниченного количества пользователей.

Три критические уязвимости, в свою очередь, выявлены в библиотеке парсинга XML Expat (libexpat). Все получили оценку в 9,8 балла по шкале угроз CVSS 3.x. Уязвимости CVE-2022-22822, CVE-2022-22823 и CVE-2022-22824 — это ошибки целочисленного переполнения, которые могут вызывать неконтролируемый расход ресурсов, а также обеспечивать хакерам возможность повышения привилегий и запуска произвольного кода.

Еще пять высокоопасных уязвимостей CVE-2021-45960, CVE-2022-22825, CVE-2022-22826, CVE-2022-22827 и CVE-2021-46143 также связаны с целочисленным переполнением.

Уязвимости затрагивают клиентское ПО PCoIP, SDK, средства обработки графики, а также стандартный агент для Windows, Linux и macOS.

Пользователям Teradici рекомендуется обновиться до версии 22.01.3 или более новой, в которой используются исправленные версии OpenSSL и libexpat.

«Наследуемые уязвимости — двойная проблема: разработчики конечных продуктов, использующих популярные внешние компоненты и библиотеки, далеко не всегда могут (и еще реже — хотят) проверять их на уязвимости, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — В итоге проблемы приходят оттуда, откуда их совсем не ждут, создавая риски для непрерывности бизнеса и сказываясь на репутации коммерческих вендоров».

Роман Георгиев

Короткая ссылка