【 資安警訊 】- Pure Storage 修補儲存設備重大漏洞
發布編號:OIS-CTI-2024-10-001
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
9 月23 日 Pure Storage 針對 5 項重大層級的資安漏洞發布公告,並指出這些漏洞影響 FlashArray、FlashBlade,攻擊者有可能藉此權限提升,或是遠端執行任意程式碼。
Pure Storage 發布資安公告,指出旗下儲存系統 FlashArray 和 FlashBlade 存在 5 項重大層級的漏洞,其中有 2 個 CVSS 風險評分達到了 10 分(滿分)的程度,可說是相當危險。這些漏洞攻擊者有機會用來執行任意程式碼、未經授權存取,甚至有可能破壞儲存設備的運作,該公司已發布新版軟體進行修補。
對於這些漏洞在臺灣處理的情形,我們也詢問 Pure Storage,他們表示已通知客戶,並正與他們密切合作以解決任何相關的問題。
根據漏洞的 CVSS 風險評分高低而言,最嚴重的是分數達到滿分的 CVE-2024-0001、CVE-2024-0002。其中,CVE-2024-0001 影響 6.3.0 至 6.3.14 版、6.4.0 至6.4.10 版的 FlashArray,起因是儲存設備初始化過程當中,用於陣列配置的本機帳號仍維持啟動的狀態,使得攻擊者有機會藉此得到權限提升。
另一個漏洞 CVE-2024-0002 則與高權限帳號有關,攻擊者有機會藉此遠端存取磁碟陣列。該漏洞影響的產品是 FlashArray 的特定版本,涵蓋 5.3.17 至 5.3.21 版、6.0.7 至 6.0.9 版、6.1.8 至6.1.25 版、6.2.0 至 6.2.17 版、6.3.0 至 6.3.14 版、6.4.0 至 6.4.10 版,以及 6.5.0 版 FlashArray。
值得留意的是,CVE-2024-0003、CVE-2024-0004、CVE-2024-0005 的嚴重程度也很高,這些漏洞的 CVSS 風險評估皆達到 9.1分。其中的 CVE-2024-0003,攻擊者可藉由遠端管理服務建置特權帳號,另外兩個漏洞,則能讓攻擊者遠端執行任意命令。
影響設備:
Pure Storage
影響型號:
FlashArray 的特定版本,涵蓋 5.3.17 至 5.3.21 版 6.0.7 至 6.0.9 版、6.1.8 至6.1.25 版、6.2.0 至 6.2.17 版、6.3.0 至 6.3.14 版、6.4.0 至 6.4.10 版
6.5.0 版 FlashArray
官方建議措施:
受影響的客戶將需要應用自助補丁包或將其 Purity 升級到不受影響的 Purity 版本。
上述影響 FlashArray //Purity 的問題已在以下版本中解決:
Purity//FA 版本 6.3.15 或更高版本
Purity//FA 版本 6.5.1 或更高版本
Purity//FA 版本 6.6.1 或更高版本
上述影響 FlashBlade //Purity 的問題已在以下版本中解決:
Purity//FB版本4.1.12或更高版本
Purity//FB版本4.3.2或更高版本
參考連結: