Várias vulnerabilidades de segurança divulgadas no aplicativo de gerenciamento de rede de área de armazenamento (SAN) SANnav da Brocade podem ser exploradas para comprometer dispositivos suscetíveis.
As 18 falhas afetam todas as versões até a 2.3.0, inclusive, de acordo com o pesquisador de segurança independente Pierre Barre, que as descobriu e relatou.
Os problemas variam desde regras de firewall incorretas, acesso root inseguro e configurações incorretas do Docker até falta de autenticação e criptografia, permitindo assim que um invasor intercepte credenciais, substitua arquivos arbitrários e viole completamente o dispositivo.
Algumas das falhas mais graves estão listadas abaixo –
- CVE-2024-2859 (Pontuação CVSS: 8,8) – Uma vulnerabilidade que pode permitir que um invasor remoto não autenticado faça login em um dispositivo afetado usando a conta root e execute comandos arbitrários
- CVE-2024-29960 (pontuação CVSS: 7,5) – O uso de chaves SSH codificadas na imagem OVA, que podem ser exploradas por um invasor para descriptografar o tráfego SSH para o dispositivo SANnav e comprometê-lo.
- CVE-2024-29961 (Pontuação CVSS: 8.2) – Uma vulnerabilidade que pode permitir que um invasor remoto não autenticado notice um ataque à cadeia de suprimentos aproveitando o fato de o serviço SANnav enviar comandos ping em segundo plano em intervalos periódicos para os domínios gridgain(.)com e ignite.apache(.)org para verificar se há atualizações
- CVE-2024-29963 (Pontuação CVSS: 8,6) – O uso de chaves Docker codificadas no SANnav OVA para alcançar registros remotos por TLS, permitindo assim que um invasor execute um ataque adversário no meio (AitM) no tráfego
- CVE-2024-29966 (Pontuação CVSS: 7,5) – A presença de credenciais codificadas para usuários root em documentação disponível publicamente que poderia permitir a um invasor não autenticado acesso complete ao dispositivo Brocade SANnav.
Após divulgação responsável duas vezes em agosto de 2022 e maio de 2023, as falhas foram corrigidas na versão 2.3.1 do SANnav lançada em dezembro de 2023. A Broadcom, empresa-mãe da Brocade, que também possui Symantec e VMware, divulgou avisos sobre as falhas no início deste mês.
A Hewlett Packard Enterprise também enviou patches para um subconjunto dessas vulnerabilidades nas versões 2.3.0a e 2.3.1 do HPE SANnav Administration Portal em 18 de abril de 2024.
