CERTFR-2023-AVI-0399 : Multiples vulnérabilités dans les produits NetApp HCI (19 mai 2023)
Risque(s)
- Atteinte à la confidentialité des données
- Atteinte à l'intégrité des données
- Déni de service
Systèmes affectés
- NetApp HCI Baseboard Management Controller (BMC) - H300S/H500S/H700S/H410S
- NetApp HCI Baseboard Management Controller (BMC) - H410C
Ces produits ne
sont plus maintenus par l'éditeur.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits NetApp HCI. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et un déni de service.
Contournement provisoire
Le CERT-FR recommande de cloisonner l'accès au composant BMC.
Solution
Important : l'éditeur ne prévoit pas de publier de correctifs de sécurité (cf. section Documentation). Le CERT-FR recommande de remplacer les produits obsolètes Netapp HCI par des solutions maintenues à jour.
Documentation
- Bulletin de sécurité NetApp NTAP-20230309-0004 du 17 mai 2023
https://security.netapp.com/advisory/ntap-20230309-0004/ - Bulletin de sécurité NetApp NTAP-20230316-0010 du 17 mai 2023
https://security.netapp.com/advisory/ntap-20230316-0010/ - Bulletin de sécurité NetApp NTAP-20230331-0004 du 17 mai 2023
https://security.netapp.com/advisory/ntap-20230331-0004/ - Bulletin de sécurité NetApp NTAP-20230413-0010 du 17 mai 2023
https://security.netapp.com/advisory/ntap-20230413-0010/ - Bulletin de sécurité NetApp NTAP-20230511-0003 du 17 mai 2023
https://security.netapp.com/advisory/ntap-20230511-0003/ - Référence CVE CVE-2022-4139
https://www.cve.org/CVERecord?id=CVE-2022-4139 - Référence CVE CVE-2023-0030
https://www.cve.org/CVERecord?id=CVE-2023-0030 - Référence CVE CVE-2023-0179
https://www.cve.org/CVERecord?id=CVE-2023-0179 - Référence CVE CVE-2023-22995
https://www.cve.org/CVERecord?id=CVE-2023-22995 - Référence CVE CVE-2023-23000
https://www.cve.org/CVERecord?id=CVE-2023-23000 - Référence CVE CVE-2023-26544
https://www.cve.org/CVERecord?id=CVE-2023-26544 - Référence CVE CVE-2023-26605
https://www.cve.org/CVERecord?id=CVE-2023-26605 - Référence CVE CVE-2023-26606
https://www.cve.org/CVERecord?id=CVE-2023-26606 - Référence CVE CVE-2023-26607
https://www.cve.org/CVERecord?id=CVE-2023-26607
- Vues : 396