FlashArray, FlashBlade at Risk: Pure Storage Reveals CVSS 10 Vulnerabilities
2024/09/25 SecurityOnline — Pure Storage が公開したセキュリティ勧告は、FlashArray/FlashBlade ストレージ・システムに影響を与える5つの深刻な脆弱性に関するものだ。これらの脆弱性の悪用に成功した攻撃者は、任意のコード実行や不正アクセスなどを達成し、重要な業務を妨害する可能性を手にする。
一連の脆弱性と潜在的な影響
- CVE-2024-0001 (CVSS 10):ローカル・コンフィグ・アカウントの脆弱性。アクティブなローカル・コンフィグ・アカウントにより、特権の昇格につながる可能性がある。
- CVE-2024-0002 (CVSS 10):特権アカウント経由のリモート・アクセスの脆弱性。特権アカウントが悪用され、データ・アレイへの不正なリモートアクセスが可能になる。
- CVE-2024-0003 (CVSS 9.1):リモート・アカウント作成の脆弱性:リモート管理サービスを通じて、攻撃者による特権アカウントの作成が可能になる。
- CVE-2024-0004 (CVSS 9.1):リモート・コマンド実行の脆弱性。データ・アレイの管理者が、リモートで任意のコマンドを実行し、特権昇格を手にする可能性がある。
- CVE-2024-0005 (CVSS 9.1):SNMP コンフィグの悪用の脆弱性。細工された SNMP コンフィグにより、リモート・コマンド実行にいたる可能性がある。
影響を受けるバージョンと修正方法
FlashArray および FlashBlade Purity の、広範なバージョンに影響が及ぶ。すでに Pure Storage は、パッチとアップデートを提供することで、これらの脆弱性に対して迅速に対応している。一連のセキュリティ上の欠陥は、以下のリリースで対処されている:
- FlashArray:Purity//FA 6.3.15/6.5.1/6.6.1 以降
- FlashBlade:Purity//FB 4.1.12/4.3.2以降
ユーザーに対して強く推奨されるのは、セルフサービス・パッチ・バンドルの適用、もしくは、最新バージョンへのアップグレードにより、これらの脆弱性によるリスクを軽減するおとだ。
緊急度およびセキュリティ上の影響
これらの脆弱性により、FlashArray/FlashBlade システムに保存されている機密データの、機密性/完全性/可用性に対して重大なリスクがもたらさせる。ユーザーに対しては、これらのリスクを軽減するために、直ちに対策を講じることが強く推奨される。
このブログでは、初登場の Pure Storage ですが、2024/06/28 の「Ticketmaster がデータ侵害通知書を提出:さらに広がる Snowflake インシデント」では、この件の被害者として、名前が上がっていました。ただし、今日の CVE-2024-0001 〜 CVE-2024-0005 は、それらの番号からして、Snowflake と無関係という感じがします。
IoT OT Security News 
You must be logged in to post a comment.