CVE-2024-42500 (CVSS 9.3): Critical HPE HP-UX Vulnerability Demands Immediate Action
2024/09/10 SecurityOnline — HPE HP-UX の Network File System (NFSv4) に脆弱性 CVE-2024-42500 (CVSS:9.3) が発見され、影響を受けるシステムへのサービス拒否 (DoS) 攻撃の可能性が生じている。この脆弱性の悪用に成功したリモートの攻撃者に、NFS サービスを妨害され、重大な運用障害にいたる恐れがある。
この脆弱性は、HPE HP-UX のバージョン B.11.31.24 未満に影響を及ぼす。HPE HP-UX を使用している組織にとって、特に政府機関/金融機関/大企業などのクリティカルな環境にある組織にとっては、早急に対策を講じて、この脅威を軽減することが重要である。
サービス拒否 (DoS:denial-of-service) 攻撃は、システムのリソースを圧倒し、正規のユーザーによる利用の阻止を目的としている。脆弱性 CVE-2024-42500 が悪用されると、HPE HP-UX の NFS サービスへのアクセスが不可能となり、ネットワーク上におけるファイル共有やデータ・アクセスの中断にいたるとされる。それぞれのユーザー環境における、NFS サービスへの依存度に応じて、軽微な不都合から深刻なビジネスの中断まで、さまざまな影響が生じる可能性がある。
HPE が全ての管理者および IT チームに対して強く推奨するのは、システムをバージョン B.11.31.24 以降にアップデートすることである。現時点において、この脆弱性の積極的な悪用は報告されていないが、CVE-2024-42500 の深刻性を考慮すると、パッチの適用により攻撃を未然に防ぐことが不可欠となる。
また、HP-UX システムを運用している組織において、実施が望ましい対策としては、システム構成の見直し/ネットワーク監視の強化/悪用のリスクを低減できるセキュリティの追加などが挙げられる。なお HPE は、アップデートを支援するための、包括的なリソースとテクニカル・サポートを提供している。
HPE HP-UX に、深刻な脆弱性が存在することが明らかになりました。ご利用のチームは、ご注意ください。直近では、2024/07/25 に「HPE サーバの脆弱性 CVE-2021-38578 (CVSS 9.8) が FIX:広範なサーバ群に影響」という記事がポストされています。よろしければ、HPE で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.