Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kriittisiä ohjelmointivirheitä korjattu HPE:n SSD-levyjen laiteohjelmistoista

Haavoittuvuus21/2019

Hewlett Packard Enterprise (HPE) on julkaissut tiettyjen brändäämiensä SSD-levyjen laiteohjelmistoihin (firmware) päivityksen, joka korjaa niissä olevan kriittisen ohjelmointivirheen (bugin). Virhe rikkoo levyt 32768 tunnin käytön jälkeen. Kyseessä ei ole hyväksikäytettävä haavoittuvuus. Virhe on jo aiheuttanut vakavia ongelmia eri toimijoilla Suomessa ja maailmalla levyjen rikkoontuessa.

HPE-brändin tiettyjen SSD-levyjen laiteohjelmistoista on löytynyt kriittinen ohjelmointivirhe, mikä pahimmillaan rikkoo levyt.

Kuten HPE mainitsee tiedotteessaan, useita levyjä on voitu asentaa samaan aikaan, mikä voi aiheuttaa myös niiden hajoamisen suunnilleen yhtäaikaisesti.

Huonoimmassa tapauksessa levyt muuttuvat käyttökelvottomiksi ja niillä olevia tietoja ei voi enää lukea. Mikäli levyjä hajoaa RAID-järjestelmässä samanaikaisesti enemmän kuin mitä RAID tukee, tietojen varmistaminen RAID:ssa usealle levylle ei auta.

Ohjelmistovirhe vaikuttaa kaikkiin HPE SAS SSD-levyihin, joiden laiteohjelmisto on vanhempi kuin HPD8. Laiteohjelmiston päivitys versioon HPD8 korjaa HPE:n mukaan ongelman.

HPE:n tiedotteesta löytyvät mallit, joissa ohjelmistovirhe on, ohjeet siihen miten tarkastaa kuinka monta tuntia SSD-levyt ovat olleet päällä sekä linkit ladattaviin päivityksiin. Joihinkin versioihin päivitykset ovat vasta tulossa.

Oman levyjärjestelmän haavoittuvuuden voi tarkistaa myös Smart Storage -hallintakäyttöliittymästä seuraavalla komennolla: 

$ ./ssacli ctrl slot=0 ssdphysicaldrive all show | awk '/physicaldrive/{print $2}' | xargs -I % ./ssacli ctrl slot=0 pd % show | awk '/Power On Hours/ || /physicaldrive/ || /Firmware/ || /Model/ {print}'

Lue lisää HPE:n tiedotteesta " (Ulkoinen linkki)Bulletin: HPE SAS Solid State Drives - Critical Firmware Upgrade Required for Certain HPE SAS Solid State Drive Models to Prevent Drive Failure at 32,768 Hours of Operation" (Ulkoinen linkki).

 

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

HPE ProLiant, Synergy, Apollo, JBOD D3xxx, D6xxx, D8xxx, MSA, StoreVirtual 4335 ja StoreVirtual 3200 -järjestelmät.

HPE:n brändäämien SSD-levyjen mallit on lueteltu HPE:n tiedotteessa (Ulkoinen linkki).

Ratkaisu- ja rajoitusmahdollisuudet

Suosittelemme tarkistamaan välittömästi näiden laitteiden toimintaan nojaavien tietojen varmistukset.

SSD-levyjen laiteohjelmistot kannattaa päivittää välittömästi uusiin ja turvallisiin versioihin. Mikäli varmuuskopiointi on toteutettu käyttäen kyseisiä päivittämättömiä levyjä, suosittelemme ottamaan väliaikaisesti varmuuskopiot myös muualle.

Mikäli käytössä oleviin levyihin ei ole vielä saatavilla päivityksiä, suosittelemme tarkastamaan kuinka monta tuntia ne ovat olleet päällä. Mikäli mainittu kriittinen tuntimäärä on lähellä, mahdollisesti pian rikkoutuvat levyt kannattaa vaihtaa uusiin tai sammuttaa järjestelmät kunnes päivitykset ovat saatavilla.

Ohjelmointivirhe on löytynyt alun perin jonkin toisen (ainakin toistaiseksi nimettömän) SSD-levyjen valmistajan toimesta. Kyberturvallisuuskeskuksella ei ole tietoa lueteltujen HPE:n brändillä varustettujen levyjen varsinaisista valmistajista. Tänäkin vuonna eri valmistajien SSD-levyissä on löytynyt ongelmia ja haavoittuvuuksia. Etenkin kriittisissä ympäristöissä on hyvä seurata tarkasti myös levyjärjestelmiin liittyviä päivityksiä, haavoittuvuustiedotteita ja raportteja ohjelmointivirheistä. On mahdollista, että myös muiden brändien ja valmistajien malleissa on samankaltaisia ongelmia.

Lisätietoja

HPE:n tiedote kriittisestä laiteohjelmiston päivityksestä tiettyihin SSD-levyihin: "Bulletin: HPE SAS Solid State Drives - Critical Firmware Upgrade Required for Certain HPE SAS Solid State Drive Models to Prevent Drive Failure at 32,768 Hours of Operation", https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00092491en_us (Ulkoinen linkki)

Lenovo julkaisi toukokuussa 2019 korjaukset UMIS SSD-levyjen firmwaresta löytyneeseen bugiin, joka saattoi aiheuttaa mm. lukuvirheitä tai esti käyttöjärjestelmän käynnistymisen: "Critical Firmware update for UMIS SSD - ThinkPad", https://support.lenovo.com/fi/en/solutions/ht508405 (Ulkoinen linkki)

Intel julkaisi heinäkuussa 2019 korjaukset SSD DC S4500 ja S4600 -sarjan SSD-levyjen laiteohjelmistoista löytyneeseen CVE-2018-18095 -haavoittuvuuteen, joka mahdollisti pääsyvaltuuksien nostamisen: "Intel® SSD DC S4500/S4600 Series Advisory", https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00267.html (Ulkoinen linkki)

Intel julkaisi maaliskuussa 2019 korjaukset SSD DC S4510 ja S4610 -sarjojen SSD-levyjen laiteohjelmistoista löytyneeseen ohjelmointivirheeseen, jonka seurauksena idle-tilassa yhteensä yli 1700 tuntia olleet levyt saattoivat rikkoontua: "Errors with Intel® Solid State Drive DC S4510 and S4610 Series", https://www.intel.com/content/www/us/en/support/articles/000038720/memory-and-storage/data-center-ssds.html (Ulkoinen linkki)