Kriittisiä ohjelmointivirheitä korjattu HPE:n SSD-levyjen laiteohjelmistoista
Hewlett Packard Enterprise (HPE) on julkaissut tiettyjen brändäämiensä SSD-levyjen laiteohjelmistoihin (firmware) päivityksen, joka korjaa niissä olevan kriittisen ohjelmointivirheen (bugin). Virhe rikkoo levyt 32768 tunnin käytön jälkeen. Kyseessä ei ole hyväksikäytettävä haavoittuvuus. Virhe on jo aiheuttanut vakavia ongelmia eri toimijoilla Suomessa ja maailmalla levyjen rikkoontuessa.
HPE-brändin tiettyjen SSD-levyjen laiteohjelmistoista on löytynyt kriittinen ohjelmointivirhe, joka pahimmillaan rikkoo levyt.
Kuten HPE mainitsee tiedotteessaan, useita levyjä on voitu asentaa samaan aikaan, mikä voi aiheuttaa myös niiden hajoamisen suunnilleen yhtäaikaisesti.
Huonoimmassa tapauksessa levyt muuttuvat käyttökelvottomiksi ja niillä olevia tietoja ei voi enää lukea. Mikäli levyjä hajoaa RAID-järjestelmässä samanaikaisesti enemmän kuin mitä RAID tukee, tietojen varmistaminen RAID:ssa usealle levylle ei auta.
Ohjelmistovirhe vaikuttaa kaikkiin HPE SAS -mallin SSD-levyihin, joiden laiteohjelmisto on vanhempi kuin HPD8. Laiteohjelmiston päivitys versioon HPD8 korjaa HPE:n mukaan ongelman.
HPE:n tiedotteesta löytyvät ohjelmistovirheen sisältävät mallit, ohjeet siihen, miten tarkastaa, kuinka monta tuntia SSD-levyt ovat olleet päällä sekä linkit ladattaviin päivityksiin. Joihinkin versioihin päivitykset ovat vasta tulossa.
Oman levyjärjestelmän haavoittuvuuden voi tarkistaa myös Smart Storage -hallintakäyttöliittymästä seuraavalla komennolla:
$ ./ssacli ctrl slot=0 ssdphysicaldrive all show | awk '/physicaldrive/{print $2}' | xargs -I % ./ssacli ctrl slot=0 pd % show | awk '/Power On Hours/ || /physicaldrive/ || /Firmware/ || /Model/ {print}'Lue lisää HPE:n tiedotteesta "Bulletin: HPE SAS Solid State Drives - Critical Firmware Upgrade Required for Certain HPE SAS Solid State Drive Models to Prevent Drive Failure at 32,768 Hours of Operation".
Haavoittuvuuden kohde
HPE ProLiant, Synergy, Apollo, JBOD D3xxx, D6xxx, D8xxx, MSA, StoreVirtual 4335 ja StoreVirtual 3200 -järjestelmät.
HPE:n brändäämien SSD-levyjen mallit on lueteltu HPE:n tiedotteessa.
Mistä on kysymys?
Suosittelemme tarkistamaan välittömästi näiden laitteiden toimintaan nojaavien tietojen varmistukset.
SSD-levyjen laiteohjelmistot kannattaa päivittää välittömästi uusiin ja turvallisiin versioihin. Mikäli varmuuskopiointi on toteutettu käyttäen kyseisiä päivittämättömiä levyjä, suosittelemme ottamaan väliaikaisesti varmuuskopiot myös muualle.
Mikäli käytössä oleviin levyihin ei ole vielä saatavilla päivityksiä, suosittelemme tarkastamaan, kuinka monta tuntia ne ovat olleet päällä. Mikäli mainittu kriittinen tuntimäärä on lähellä, mahdollisesti pian rikkoutuvat levyt kannattaa vaihtaa uusiin tai sammuttaa järjestelmät, kunnes päivitykset ovat saatavilla.
Alun perin jokin toinen (ainakin toistaiseksi nimetön) SSD-levyjen valmistaja löysi ohjelmointivirheen. Kyberturvallisuuskeskuksella ei ole tietoa lueteltujen HPE:n brändillä varustettujen levyjen varsinaisista valmistajista. Tänäkin vuonna eri valmistajien SSD-levyissä on löytynyt ongelmia ja haavoittuvuuksia. Etenkin kriittisissä ympäristöissä on hyvä seurata tarkasti myös levyjärjestelmiin liittyviä päivityksiä, haavoittuvuustiedotteita ja raportteja ohjelmointivirheistä. On mahdollista, että myös muiden brändien ja valmistajien malleissa on samankaltaisia ongelmia.
Mitä voin tehdä?
HPE:n tiedote kriittisestä laiteohjelmiston päivityksestä tiettyihin SSD-levyihin: "Bulletin: HPE SAS Solid State Drives - Critical Firmware Upgrade Required for Certain HPE SAS Solid State Drive Models to Prevent Drive Failure at 32,768 Hours of Operation", https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00092491en_us
Lenovo julkaisi toukokuussa 2019 korjaukset UMIS SSD-levyjen firmwaresta löytyneeseen bugiin, joka saattoi aiheuttaa mm. lukuvirheitä tai esti käyttöjärjestelmän käynnistymisen: "Critical Firmware update for UMIS SSD - ThinkPad", https://support.lenovo.com/fi/en/solutions/ht508405
Intel julkaisi heinäkuussa 2019 korjaukset SSD DC S4500 ja S4600 -sarjan SSD-levyjen laiteohjelmistoista löytyneeseen CVE-2018-18095 -haavoittuvuuteen, joka mahdollisti pääsyvaltuuksien nostamisen: "Intel® SSD DC S4500/S4600 Series Advisory", https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00267.html
Intel julkaisi maaliskuussa 2019 korjaukset SSD DC S4510 ja S4610 -sarjojen SSD-levyjen laiteohjelmistoista löytyneeseen ohjelmointivirheeseen, jonka seurauksena idle-tilassa yhteensä yli 1700 tuntia olleet levyt saattoivat rikkoontua: "Errors with Intel® Solid State Drive DC S4510 and S4610 Series", https://www.intel.com/content/www/us/en/support/articles/000038720/memory-and-storage/data-center-ssds.html
Dell:n levyistä keskustelua Redditissä helmikuussa 2020, https://www.reddit.com/r/sysadmin/comments/f5k95v/dell_emc_urgent_firmware_update/