S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 mai 2023
N° CERTFR-2023-AVI-0399
Affaire suivie par: CERT-FR
le 19 mai 2023

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits NetApp HCI

Gestion du document

Référence CERTFR-2023-AVI-0399
Titre Multiples vulnérabilités dans les produits NetApp HCI
Date de la première version 19 mai 2023
Date de la dernière version 19 mai 2023
Source(s) Bulletin de sécurité NetApp NTAP-20230309-0004 du 17 mai 2023
Bulletin de sécurité NetApp NTAP-20230316-0010 du 17 mai 2023
Bulletin de sécurité NetApp NTAP-20230331-0004 du 17 mai 2023
Bulletin de sécurité NetApp NTAP-20230413-0010 du 17 mai 2023
Bulletin de sécurité NetApp NTAP-20230511-0003 du 17 mai 2023
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Atteinte à la confidentialité des données
  • Atteinte à l'intégrité des données
  • Déni de service

Systèmes affectés

  • NetApp HCI Baseboard Management Controller (BMC) - H300S/H500S/H700S/H410S
  • NetApp HCI Baseboard Management Controller (BMC) - H410C

Ces produits ne sont plus maintenus par l'éditeur.

Résumé

De multiples vulnérabilités ont été découvertes dans les produits NetApp HCI. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et un déni de service.

Contournement provisoire

Le CERT-FR recommande de cloisonner l'accès au composant BMC.

Solution

Important : l'éditeur ne prévoit pas de publier de correctifs de sécurité (cf. section Documentation). Le CERT-FR recommande de remplacer les produits obsolètes Netapp HCI par des solutions maintenues à jour.

 

Documentation

Gestion détaillée du document

    le 19 mai 2023
    Version initiale