企業用戶請注意,Pure Storage儲存設備恐遭入侵 資安風險升高
Pure Storage 指出旗下儲存系統FlashArray和FlashBlade存在5項重大層級的漏洞,其中有2個CVSS風險評分達到了10分(滿分)的程度,可說是相當危險,這些漏洞攻擊者有機會用來執行任意程式碼、未經授權存取,甚至有可能破壞儲存設備的運作,該公司已發布新版軟體進行修補。
根據漏洞的CVSS風險評分高低而言,最嚴重的是分數達到滿分的CVE-2024-0001、CVE-2024-0002。其中,CVE-2024-0001影響6.3.0至6.3.14版、6.4.0至6.4.10版的FlashArray,起因是儲存設備初始化過程當中,用於陣列配置的本機帳號仍維持啟動的狀態,使得攻擊者有機會藉此得到權限提升。
另一個漏洞CVE-2024-0002則與高權限帳號有關,攻擊者有機會藉此遠端存取磁碟陣列。該漏洞影響的產品是FlashArray的特定版本,涵蓋5.3.17至5.3.21版、6.0.7至6.0.9版、6.1.8至6.1.25版、6.2.0至6.2.17版、6.3.0至6.3.14版、6.4.0至6.4.10版,以及6.5.0版FlashArray。
值得留意的是,CVE-2024-0003、CVE-2024-0004、CVE-2024-0005的嚴重程度也很高,這些漏洞的CVSS風險評估皆達到9.1分。其中的CVE-2024-0003,攻擊者可藉由遠端管理服務建置特權帳號,另外兩個漏洞,則能讓攻擊者遠端執行任意命令。
縱觀受到上述漏洞影響的產品,FlashArray因為有5個弱點與其相關,用戶需確認目前版本是否存在這些漏洞,FlashBlade用戶更要注意CVE-2024-0005的風險。
參考資料:
https://www.ithome.com.tw/news/165226
https://thehackernews.com/2024/09/progress-software-releases-patches-for.html