HP Multiple Products Remote Code Execution Vulnerability — HP ProCurve Manager (PCM), PCM+, Identity Driven Manager (IDM), and Application Lifecycle Management allow remote attackers to execute arbitrary code via a marshalled object to (1) EJBInvokerServlet or (2) JMXInvokerServlet.
CVE-2013-4810 is a critical remote code execution vulnerability (CVSS 9.0) affecting HP ProCurve Manager, PCM+, IDM, and ALM products. Attackers can exploit exposed JMXInvokerServlet and EJBInvokerServlet endpoints by sending malicious marshalled objects to execute arbitrary code remotely. Active exploits exist with no official patch available, requiring immediate mitigation.
تسمح هذه الثغرة الأمنية الحرجة للمهاجمين عن بُعد بتنفيذ أوامر تعسفية على الخوادم المتأثرة من خلال استغلال خدمات JMXInvokerServlet وEJBInvokerServlet المكشوفة في منتجات إدارة الشبكات من HP. يتم الاستغلال عبر إرسال كائنات Java مُسلسلة (marshalled objects) خبيثة تؤدي إلى تنفيذ أوامر على مستوى النظام. تُستخدم هذه المنتجات على نطاق واسع في إدارة البنية التحتية للشبكات في المؤسسات، مما يجعل الاستغلال الناجح يمنح المهاجم سيطرة كاملة على بيئة إدارة الشبكة. عدم توفر تحديث رسمي يزيد من خطورة الوضع ويتطلب تطبيق ضوابط تعويضية فورية.
الثغرة CVE-2013-4810 هي ثغرة حرجة لتنفيذ الأوامر عن بُعد (درجة خطورة 9.0) تؤثر على منتجات HP ProCurve Manager وPCM+ وIDM وALM. يمكن للمهاجمين استغلال نقاط النهاية المكشوفة JMXInvokerServlet وEJBInvokerServlet عبر إرسال كائنات مُسلسلة خبيثة لتنفيذ أوامر تعسفية عن بُعد. توجد استغلالات نشطة دون وجود تحديث رسمي، مما يستوجب اتخاذ إجراءات تخفيف فورية.
1. Immediately isolate affected HP ProCurve Manager, PCM+, IDM, and ALM systems from internet access and restrict network access to trusted management networks only using firewall rules and network segmentation.
2. Disable or remove JMXInvokerServlet and EJBInvokerServlet endpoints from application servers if not operationally required, or implement strict authentication and IP whitelisting at the application and network layers.
3. Deploy intrusion detection signatures to monitor for deserialization attacks targeting these servlets, implement application-layer firewalls with deep packet inspection, and establish continuous monitoring for unauthorized access attempts while planning migration to supported network management platforms.
1. عزل أنظمة HP ProCurve Manager وPCM+ وIDM وALM المتأثرة فوراً عن الإنترنت وتقييد الوصول الشبكي إلى شبكات الإدارة الموثوقة فقط باستخدام قواعد الجدار الناري وتجزئة الشبكة.
2. تعطيل أو إزالة نقاط النهاية JMXInvokerServlet وEJBInvokerServlet من خوادم التطبيقات إذا لم تكن مطلوبة تشغيلياً، أو تطبيق مصادقة صارمة وقوائم بيضاء لعناوين IP على مستوى التطبيق والشبكة.
3. نشر توقيعات كشف التسلل لرصد هجمات إلغاء التسلسل المستهدفة لهذه الخدمات، وتطبيق جدران نارية على مستوى التطبيق مع فحص عميق للحزم، وإنشاء مراقبة مستمرة لمحاولات الوصول غير المصرح بها مع التخطيط للانتقال إلى منصات إدارة شبكات مدعومة.