Dell EMC SupportAssist Enterprise (servidores, almacenamiento, redes): vulnerabilidad de cuenta predeterminada sin documentar

Identificador CVE: Gravedad CVE-2018-1214:

Productos afectados críticos (en configuraciones limitadas específicas, consulte la nota a

continuación): Dell EMC SupportAssist Enterprise 1.1 y actualización a 1.2 (solo versiones de la estación de administración del SO Windows)

Resumen:

Dell EMC SupportAssist Enterprise 1.2.1 contiene correcciones para la vulnerabilidad de la cuenta predeterminada sin documentar que usuarios no autorizados podrían utilizar para comprometer el sistema afectado.

Detalles:

SupportAssist Enterprise versión 1.1 crea una cuenta de usuario local de Windows denominada "OMEAdapterUser" con una contraseña predeterminada como parte del proceso de instalación. Esta cuenta de usuario innecesaria también permanece ahí sin modificaciones incluso después de la actualización de la versión v1.1 a la v1.2.  Alguien que sepa la contraseña predeterminada puede obtener acceso a la consola de administración. 

Si SupportAssist Enterprise está instalado en un servidor que ejecuta OpenManage Essentials (OME), la cuenta de usuario de OmeAdapterUser se agrega como miembro del grupo OmeAdministrators para OME. Una persona no autorizada que sepa la contraseña predeterminada y que acceda a la consola web de OME podría utilizar esta cuenta para acceder a la instalación afectada de OME con los privilegios de OmeAdministrators. 

Nota: El nivel de gravedad (crítico) se basa en configuraciones en las que SupportAssist Enterprise está instalado en un servidor que ejecuta OME con la función de administración de configuración del servidor con tarifa activada. Dell EMC recomienda a los clientes tomar en cuenta cualquiera de los factores de implementación que pudieran ser de relevancia para su entorno a fin de evaluar sus riesgos a nivel global.

Nota: Las versiones de Linux de SupportAssist Enterprise v1.1 y la actualización a v1.2 no se ven afectadas por este problema.

Nota: El problema no afectaba a ninguna otra versión empresarial o de usuario final de SupportAssist.

Resolución:

La siguiente versión de Dell EMC SupportAssist Enterprise contiene las resoluciones a estas vulnerabilidades:

• Dell EMC SupportAssist Enterprise versión 1.2.1

Dell EMC recomienda a todos los clientes actualizar a la versión v1.2.1 inmediatamente.

Solución alternativa:

La cuenta de usuario de OmeAdapterUser se puede eliminar manualmente. Eliminar esta cuenta de usuario no afecta a la funcionalidad de SupportAssist Enterprise ni la de OpenManage Essentials.

Enlace a las soluciones:

Los clientes pueden descargar el software desde la página Servidor de administración Windows de Dell EMC SupportAssist Enterprise versión 1.2.1.

Dell EMC recomienda a todos los usuarios determinar la utilidad de esta información conforme a cada situación particular para tomar las medidas apropiadas. La información estipulada en este documento se proporciona “tal cual” sin garantías de ningún tipo. Dell EMC renuncia a todas las garantías, expresas o implícitas, incluidas las garantías de comerciabilidad, idoneidad para un propósito en particular, título e incumplimiento. En ningún caso, Dell EMC o sus proveedores serán responsables de los daños que pudieran ocurrir, incluidos los daños directos, indirectos, incidentales, resultantes, cuantificables o la pérdida de beneficios comerciales, incluso si Dell EMC o sus proveedores hubieran sido advertidos de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños resultantes o accidentales, por lo que la limitación anterior puede no ser aplicable.