HPE サーバの脆弱性 CVE-2021-38578 (CVSS 9.8) が FIX:広範なサーバ群に影響

HPE Servers Exposed: Critical Vulnerability Demands Urgent Firmware Update

2024/07/25 SecurityOnline — HPE ProLiant/Alletra/Synergy/Apollo/Edgeline に存在する、深刻なセキュリティ脆弱性 CVE-2021-38578 が発見された。この脆弱性は CVSS スコアが 9.8 と評価されており、悪用に成功した攻撃者は、リモート・コード実行が可能になり、データ漏洩/システム侵害/運用の中断などを引き起こす可能性を手にする。


この脆弱性の影響を受けるサーバは、Gen10/Gen10 Plus/Gen11 ProLiant server/Alletra storage system/Synergy compute module/Apollo system/Edgeline server などの、複数の世代とモデルに広がっている。すでに HPE は、この重大な脆弱性に対処するための最新ファームウェアをリリースしており、顧客に対してアップデートを直ちに適用するよう求めている。

この脆弱性は深刻度が高く、リモートからの悪用が可能であるため、特に注意が必要である。この脆弱性の悪用に成功した攻撃者は、機密データへの不正アクセス/マルウェアのインストール/業務妨害などを仕掛ける機会を得る。この脆弱性の影響は、HPE のエンタープライズ・グレードのハードウェアに依存する、各種の業界や組織に及ぶ。つまり、影響を受けるサーバの範囲が広いことが、そのリスクを増幅させている。

この脆弱性の影響を受ける、サーバ・モデルと脆弱なファームウェアのバージョンは以下の通りだ:

  • HPE Alletra 4110/4120:v2.20_05-27-2024 未満
  • HPE ProLiant DL/ML Series (Gen10/Gen10 Plus/Gen11):v3.20_05-27-2024 未満の各種バージョン
  • HPE Synergy Compute Modules (Gen10/Gen10 Plus/Gen11):v3.20_05-27-2024 未満の各種バージョン
  • HPE Apollo Systems:v2.10_05-27-2024 未満
  • HPE Edgeline Server:v3.20_05-27-2024 未満の各種バージョン

影響を受けるモデル/バージョンの完全なリストについては、HPE のセキュリティ情報で確認してほしい。

すでに HPE は、影響を受けるモデルの BIOS ファームウェアの更新版をリリースすることで、この重大な脆弱性に迅速に対処している。ユーザーに対して強く推奨されるのは、サーバーのファームウェアを以下の最新バージョンに更新することだ:

  • Gen11/Alletra/Synergy Gen11:v2.20_05-27-2024以降
  • Gen10 Plus/Synergy Gen10 Plus/XL:v2.10_05-27-2024 以降
  • Gen10/Synergy Gen10 XL:v3.20_05-27-2024 以降
  • AMD Gen11:v1.60_03-14-2024 以降
  • AMD Gen10/Gen10 Plus:v3.10_03-21-2024 以降
  • Edgeline 930t:v2.20_05-27-2024 以降
  • Edgeline 920x:v2.10_05-27-2024 以降
  • Edgeline e910x:v3.20_05-27-2024 以降

必要となるファームウェア・アップデートは、Hewlett Packard Enterprise Support Center からダウンロードできる。ダウンロードの手順は下記の通りである:

  1. テキスト検索フィールド内の影響を受ける製品のリストから製品名を選び、”Suggested Products” が表示されるまで待つ。
  2. “Suggested Products (推奨される製品の一覧) から、必要な製品を選択する。
  3. ページが更新され、”DRIVERS AND SOFTWARE” (ドライバおよびソフトウェア) タブが選択できるようになる。
  4. “DRIVERS AND SOFTWARE” タブを選択し、必要なコンポーネントを探してダウンロードする。

文中で指摘されているように、かなり広範な製品群に影響を及ぼす脆弱性です。しかも、深刻度が高いので、悪用されると被害は甚大と推測されます。ご利用の組織は、迅速なパッチ適用を ご検討ください。よろしければ、HPE で検索も、ご利用ください。