本週Pure Storage發布資安公告,指出旗下儲存系統FlashArray和FlashBlade存在5項重大層級的漏洞,其中有2個CVSS風險評分達到了10分(滿分)的程度,可說是相當危險。這些漏洞攻擊者有機會用來執行任意程式碼、未經授權存取,甚至有可能破壞儲存設備的運作,該公司已發布新版軟體進行修補。
對於這些漏洞在臺灣處理的情形,我們也詢問Pure Storage,他們表示已通知客戶,並正與他們密切合作以解決任何相關的問題。9月29日Pure Storage通知我們此漏洞處理最新狀況,他們表示,臺灣客戶目前沒有收到相關需要解決的問題,會持續與客戶保持密切聯絡。
根據漏洞的CVSS風險評分高低而言,最嚴重的是分數達到滿分的CVE-2024-0001、CVE-2024-0002。其中,CVE-2024-0001影響6.3.0至6.3.14版、6.4.0至6.4.10版的FlashArray,起因是儲存設備初始化過程當中,用於陣列配置的本機帳號仍維持啟動的狀態,使得攻擊者有機會藉此得到權限提升。
另一個漏洞CVE-2024-0002則與高權限帳號有關,攻擊者有機會藉此遠端存取磁碟陣列。該漏洞影響的產品是FlashArray的特定版本,涵蓋5.3.17至5.3.21版、6.0.7至6.0.9版、6.1.8至6.1.25版、6.2.0至6.2.17版、6.3.0至6.3.14版、6.4.0至6.4.10版,以及6.5.0版FlashArray。
值得留意的是,CVE-2024-0003、CVE-2024-0004、CVE-2024-0005的嚴重程度也很高,這些漏洞的CVSS風險評估皆達到9.1分。其中的CVE-2024-0003,攻擊者可藉由遠端管理服務建置特權帳號,另外兩個漏洞,則能讓攻擊者遠端執行任意命令。
縱觀受到上述漏洞影響的產品,FlashArray因為有5個弱點與其有關,用戶需確認目前版本是否存在這些漏洞,FlashBlade用戶要注意CVE-2024-0005的風險。
熱門新聞
2024-11-12
2024-11-10
2024-11-13
2024-11-10
2024-11-14
2024-11-11
