CVE-2024-22442 (CVSS 9.8): HPE Patches Critical 3PAR Service Processor Flaw
2024/07/18 SecurityOnline — Hewlett Packard Enterprise (HPE) が公表したのは、3PAR Service Processor ソフトウェアに存在する、深刻な脆弱性 CVE-2024-22442 に対応する、セキュリティ・アップデートのリリースに関する情報である。この脆弱性の悪用に成功したリモートの攻撃者は、認証のバイパスを達成し、接続されているストレージ・システム内の、機密データへの不正アクセスの可能性を手にする。
HPE 3PAR Service Processor は、HPE 3PAR StoreServ Storage システムを管理する上で重要なコンポーネントであり、監視/分析のためのデータを収集し、HPE に送信する役割を担っているものだ。今回に確認された 脆弱性 CVE-2024-22442 (CVSS:9.8:Critical) だが、パッチを適用せずに放置した場合には、深刻な被害が生じる可能性がある。
この脆弱性は、サービス・プロセッサ・ソフトウェア内の、セキュリティ制限バイパスに起因している。それにより攻撃者は、認証手段を回避してアプライアンスを制御する可能性を得るため、データ漏洩/不正な改変/ストレージ運用の中断などにいたる恐れがある。
この重大な問題を報告したセキュリティ研究者 Milad Fadavvi に対して、HPE は謝辞を述べている。すでに HPE は、サービス・プロセッサ・ソフトウェアにパッチし適用したバージョン v5.1.2 をリリースしており、すべてのユーザーに対して直ちにアップグレードするよう促している。このアップデートは、認証バイパスの脆弱性に対処し、3PAR Service Processor の全体的なセキュリティ体制を強化するものとされる。
Service Processor ソフトウェアの、バージョン 5.1.1 以前の HPE 3PAR StoreServ Storage システムを使用している組織は、バージョン 5.1.2 へのアップデートを優先するよう推奨されている。このアップデートを行わずに放置すると、ストレージ・インフラが不正アクセスやデータ漏洩の危険にさらされる可能性が生じる。
このブログないで HPE を検索してみましたが、Aruba に関連する記事のみがあるという状況でした。今回の 3PAR Service Processor は、かなり重要なソフトウェアのようですので、ご利用のチームは、十分にご注意ください。よろしければ、HPE で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.