SK-CERT Bezpečnostné varovanie V20220919-08

19. septembra 2022

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.6

Identifikátor

HPE iLO 5 – viacero kritických bezpečnostných zraniteľností

Popis

Spoločnosť Hewlett Packard vydala bezpečnostné aktualizácie na svoje portfólio produktov Hewlett Packard Enterprise, ktoré opravujú viacero kritických bezpečnostných zraniteľností vo firmwari HPE Integrated Lights-Out 5.
Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje neautentifikovanému útočníkovi nachádzajúcemu sa v rovnakom sieťovom segmente vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

06.09.2022

CVE

CVE-2022-28626, CVE-2022-28627, CVE-2022-28628, CVE-2022-28629, CVE-2022-28630, CVE-2022-28631, CVE-2022-28632, CVE-2022-28633, CVE-2022-28634, CVE-2022-28635, CVE-2022-28636

IOC

–

Zasiahnuté systémy

HPE Integrated Lights-Out 5 (iLO 5) pre HPE Gen10 Servers – vo verzii staršej ako 2.71
HPE Apollo 2000 Gen10 Plus System vo verzii staršej ako 2.71
HPE Apollo 4200 Gen10 Plus System vo verzii staršej ako 2.71
HPE Apollo 4200 Gen10 Server vo verzii staršej ako 2.71
HPE Apollo 4510 Gen10 System vo verzii staršej ako 2.71
HPE Apollo 6500 Gen10 Plus System vo verzii staršej ako 2.71
HPE Apollo 6500 Gen10 System vo verzii staršej ako 2.71
HPE Apollo n2600 Gen10 Plus vo verzii staršej ako 2.71
HPE Apollo n2800 Gen10 Plus vo verzii staršej ako 2.71
HPE Apollo r2000 Chassis vo verzii staršej ako 2.71
HPE Edgeline e920 Server Blade vo verzii staršej ako 2.71
HPE Edgeline e920d Server Blade vo verzii staršej ako 2.71
HPE Edgeline e920t Server Blade vo verzii staršej ako 2.71
HPE ProLiant DL20 Gen10 Plus server vo verzii staršej ako 2.71
HPE ProLiant BL460c Gen10 Server Blade vo verzii staršej ako 2.71
HPE ProLiant DL20 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant DL110 Gen10 Plus Telco server vo verzii staršej ako 2.71
HPE ProLiant DL120 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant DL160 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant DL180 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant DL325 Gen10 Plus server vo verzii staršej ako 2.71
HPE ProLiant DL325 Gen10 Plus v2 server vo verzii staršej ako 2.71
HPE ProLiant DL325 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant DL345 Gen10 Plus server vo verzii staršej ako 2.71
HPE ProLiant DL360 Gen10 Plus server vo verzii staršej ako 2.71
HPE ProLiant DL360 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant DL365 Gen10 Plus server vo verzii staršej ako 2.71
HPE ProLiant DL380 Gen10 Plus server vo verzii staršej ako 2.71
HPE ProLiant DL380 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant DL385 Gen10 Plus server vo verzii staršej ako 2.71
HPE ProLiant DL385 Gen10 Plus v2 server vo verzii staršej ako 2.71
HPE ProLiant DL385 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant DL560 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant DL580 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant DX170r Gen10 server vo verzii staršej ako 2.71
HPE ProLiant DX190r Gen10 server vo verzii staršej ako 2.71
HPE ProLiant DX220n Gen10 Plus server vo verzii staršej ako 2.71
HPE ProLiant DX325 Gen10 Plus v2 server vo verzii staršej ako 2.71
HPE ProLiant DX360 Gen10 Plus server vo verzii staršej ako 2.71
HPE ProLiant DX360 Gen10 server vo verzii staršej ako 2.71
HPE ProLiant DX380 Gen10 Plus server vo verzii staršej ako 2.71
HPE ProLiant DX380 Gen10 server vo verzii staršej ako 2.71
HPE ProLiant DX385 Gen10 Plus server vo verzii staršej ako 2.71
HPE ProLiant DX385 Gen10 Plus v2 server vo verzii staršej ako 2.71
HPE ProLiant DX4200 Gen10 server vo verzii staršej ako 2.71
HPE ProLiant DX560 Gen10 server vo verzii staršej ako 2.71
HPE ProLiant e910 Server Blade vo verzii staršej ako 2.71
HPE ProLiant e910t Server Blade vo verzii staršej ako 2.71
HPE ProLiant m750 Server Blade vo verzii staršej ako 2.71
HPE ProLiant MicroServer Gen10 Plus vo verzii staršej ako 2.71
HPE ProLiant ML30 Gen10 Plus server vo verzii staršej ako 2.71
HPE ProLiant ML30 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant ML110 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant ML350 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant XL170r Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant XL190r Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant XL220n Gen10 Plus Server vo verzii staršej ako 2.71
HPE ProLiant XL225n Gen10 Plus 1U Node vo verzii staršej ako 2.71
HPE ProLiant XL230k Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant XL270d Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant XL290n Gen10 Plus Server vo verzii staršej ako 2.71
HPE ProLiant XL450 Gen10 Server vo verzii staršej ako 2.71
HPE ProLiant XL645d Gen10 Plus Server vo verzii staršej ako 2.71
HPE ProLiant XL675d Gen10 Plus Server vo verzii staršej ako 2.71
HPE ProLiant XL925g Gen10 Plus 1U 4-node Configure-to-order Server vo verzii staršej ako 2.71
HPE Storage File Controller vo verzii staršej ako 2.71
HPE Storage Performance File Controller vo verzii staršej ako 2.71
HPE StoreEasy 1460 Storage vo verzii staršej ako 2.71
HPE StoreEasy 1560 Storage vo verzii staršej ako 2.71
HPE StoreEasy 1660 Expanded Storage vo verzii staršej ako 2.71
HPE StoreEasy 1660 Performance Storage vo verzii staršej ako 2.71
HPE StoreEasy 1660 Storage vo verzii staršej ako 2.71
HPE StoreEasy 1860 Performance Storage vo verzii staršej ako 2.71
HPE StoreEasy 1860 Storage vo verzii staršej ako 2.71
HPE Synergy 480 Gen10 Compute Module vo verzii staršej ako HPE Synergy ervice Pack (SSP) SY-2022.08.01 (9 Aug 2022)
HPE Synergy 480 Gen10 Plus Compute Module vo verzii staršej ako HPE Synergy ervice Pack (SSP) SY-2022.08.01 (9 Aug 2022)
HPE Synergy 660 Gen10 Compute Module vo verzii staršej ako HPE Synergy ervice Pack (SSP) SY-2022.08.01 (9 Aug 2022)
HPE NonStop NS8 X4 CPU vo verzii staršej ako 2.71
HPE NonStop NS4 X4 CPU vo verzii staršej ako 2.71
HPE NonStop NS7 X3 CPU vo verzii staršej ako 2.71
HPE NonStop NS3 X3 CPU vo verzii staršej ako 2.71
HPE NonStop NS2 X3 vo verzii staršej ako 2.71
HPE NonStop Network CLIM Gen10 vo verzii staršej ako 2.71
HPE NonStop Storage CLIM Gen10 vo verzii staršej ako 2.71
HPE NonStop System Console (NSC) Gen10 vo verzii staršej ako 2.71
HPE NonStop Virtual Tape Controller (VTC) Gen10 vo verzii staršej ako 2.71
HPE NonStop Virtual Tape Repository (VTR) Gen10 vo verzii staršej ako 2.71

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Zneprístupnenie služby
Neoprávnený prístup k citlivým údajom

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbhf04333en_us
https://nvd.nist.gov/vuln/detail/CVE-2022-28631

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20220919-08

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02