Форум OlegON > Компьютеры и Программное обеспечение > Железо

В софте HPE обнаружена уязвимость

27.11.2020 15:19


29.10.2020 11:41
Occul
 
Hewlett Packard Enterprise внес экстренное исправление в свою программную платформу HPE StoreServ Management Console (SSMC). Этот программный комплекс, используемый для управления накопителями данных в дата-центрах, содержал уязвимость, получившую 10 баллов из 10 по шкале угроз.

Консоль SSMC используется вместе с HPE Primera — накопителями для критически важных приложений, и HPE 3PAR StoreServ — системами хранения данных под управлением ИИ для облачных сервис-провайдеров.

Уязвимость CVE-2020-7197 затрагивает версии SSMC для HPE 3PAR и Core Software Media до версии 3.7.0.0. Она позволяет обходить какую бы то ни было авторизацию в системе — удаленно, без какого-либо содействия со стороны легитимных пользователей и без привилегий у атакующего в системе.

Компрометация данных
Какие действия злоумышленник может совершить в системе, в бюллетене HPE не сказано.




«Приложение связано с хранилищем данных, а значит обход какой-либо авторизации в нем автоматически означает компрометацию самого устройства и информации в нем хранящейся, — указывает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Как следствие, злоумышленник может использовать это хранилище для последующего заражения всей корпоративной сети, а то и центра данных, вредоносным ПО, либо просто уничтожать критически важные данные и приложения. Стоит отметить, что доступ к консоли извне — то есть, из всемирной Сети — крайне маловероятен. Однако очень критично то, что любой пользователь корпоративной сети или сети дата-центра имеет возможность получить доступ к накопителям данных. Подобного происходить, естественно, не должно».

Информация об обновлениях и патчах доступна на сайте техподдержки HPE.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.