HPE Cray Vulnerability (CVE-2024-540385): Authentication Bypass Threat, CVSS 10 Alert
2025/03/17 SecurityOnline — AMI BMC Redfish API を使用する HPE Cray XD670 サーバにおいて、深刻な脆弱性 CVE-2024-540385 (CVSS:10.0) が発見され、リモート認証バイパスの脅威が懸念されている。管理者にとって必要なことは、この欠陥への速やかな対処により、悪用の可能性を阻止することである。
HPE のセキュリティ・アドバイザリには、「この脆弱性は、リモートから悪用され、認証バイパスを許す可能性がある。つまり、攻撃者は、有効な資格情報を提供せずに、サーバの Baseboard Management Controller (BMC) への不正アクセスの可能性を得る。この BMC は、電源制御/リモート・コンソール・アクセス/ハードウェア監視などの、低レベルにおけるシステム管理機能を提供するため、その影響は深刻となる。
この脆弱性の潜在的な影響は大きく、特に HPE Cray XD670 サーバが導入される、高性能コンピューティング環境で顕著となる。その悪用に成功する攻撃者は、影響を受けるサーバの完全な制御を達成し、データ侵害/システム中断などの、悪意のアクティビティを引き起こす機会を得る。
この脆弱性は、BMC v1.19 未満を使用している、HPE Cray XD670 に影響を及ぼす。すでに HPE は、2025年1月29日付けで BMC ファームウェア・バージョン 1.19 をリリースし、この問題に対処している。
HPE が管理者たちに強く推奨するのは、BMC ファームウェアのパッチ適用バージョンへと、遅滞なくアップデートすることだ。このセキュリティ情報には、必要なファームウェアを入手するための、明確な手順が概説されている。
- 次のリンクをクリック:Hewlett Packard Enterprise Support Center
- 上記の製品のリストで、テキスト検索フィールドに製品名を入力し、推奨製品のリストが表示されるまで待つ。表示された推奨製品のリストから、目的の製品を特定/選択する。
- ページが更新され、“DRIVERS AND SOFTWARE” タブの選択が可能になる。
- “DRIVERS AND SOFTWARE” タブを選択して、必要なコンポーネントを見つ出してダウンロードする。
このプロセスに従うことで、特定の HPE Cray XD670 サーバに適したファームウェアを、簡単に見つけてダウンロードできる。
HPE Cray XD670 サーバに、CVSS 10.0 の脆弱性が発生しています。BMC への不正アクセスに至る可能性がありますので、ご利用のチームは、アップデートを忘れないよう、お気をつけください。なお、関連するトピックとして、2023/06/15 に「CISA/NSA の共同指針:BMC セキュリティ強化ガイドラインを発表」という記事をポストしています。よろしければ、HPE で検索と併せてご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.