HPE 发布严重的 RCE 0day 漏洞，影响服务器管理软件 SIM，无补丁

目前尚未发布安全更新，不过HPE 已提供针对 Windows 系统（Linux 系统无）的缓解措施并正在准备解决该 0day。0day 即公开发布的但厂商尚未修复的漏洞，在某些情况下可能已遭在野利用或 PoC exploit 已公开。

HPE SIM 是一款管理和远程支持自动化解决方案，服务于多个 HPE 服务器、存储和网络产品，包括但不限于 HPE ProLiant Gen 10 和 HPE ProLiant Gen9 Servers。

该漏洞是由 Harrison Neal 通过趋势科技 ZDI 计划报告的，编号为 CVE-2020-7200，影响 HPE SIM 7.6.x 版本。HPE 将该漏洞的 CVSS 评分评为 9.8 分，可被攻击者用于无需用户交互的复杂度较低的攻击活动中。

该漏洞产生的原因在于未正确验证用户提供的数据，从而导致不受信任数据的反序列化问题，从而很可能使攻击者在运行易受攻击软件的服务器上执行代码。

HPE 并未在安全公告中披露该 0day 是否已遭在野利用。

HPE 在安全公告中发布缓解措施，要求禁用可触发该漏洞的 “Federated Search” 和 “Federated CMS Configuration” 功能。公告还指出，“将在未来版本中发布阻止远程代码执行漏洞的完整修复方案。“

使用 HPE SIM 管理软件的系统管理员必须使用如下程序来拦截 CVE-2020-7200 攻击：

1、停止 HPE SIM 服务

2、从 sim 安装路径 del /Q /F C:\Program Files\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war中删除文件 C:\Program Files\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war。

3、重启 HPE SIM Service

4、等待 HPE SIM 网页 https://SIM_IP:50000 可被访问并通过命令提示符执行命令：mxtool -r -f tools\multi-cms-search.xml 1>nul 2>nul

HPE 表示，采取缓解措施后，HPE SIM 用户将无法使用 “Federated Search” 功能。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。