HPEのサーバ管理ツールにリモートコード実行の緊急脆弱性の報告

HPEのリモート管理ツールに脆弱性が見つかった。深刻度は緊急（Critical）だ。現段階では修正版はでておらず、緩和策が提示されている。

[後藤大地，有限会社オングス]

　Hewlett Packard Enterprise（以下、HPE）は2020年12月15日（米国時間）、HPE Systems Insight Manager（SIM）に脆弱（ぜいじゃく）性が存在すると伝えた。このセキュリティ脆弱性を利用されると遠隔から攻撃者によってコードを実行される危険性がある。現時点で公表されている緩和策を確認してほしい。

AMF Deserialization of Untrusted Data, Remote Code Execution Vulnerability,HPESBGN04068 rev.1 - Hewlett Packard Enterprise Systems Insight Manager（SIM）, AMF Deserialization of Untrusted Data, Remote Code Execution Vulnerability

　HPE Systems Insight ManagerはHPEのシステム管理ツール。同社が提供するサーバ管理ツール基盤の一つであり、サーバ、ストレージ、ネットワーク製品など同社製品をリモート管理できる。

CVSSスコア「9.8」　アップデートの動向や緩和策をチェックしよう

　脆弱性が存在するとされる製品と対象バージョンは次の通りだ。

• HPE Systems Insight Manager（SIM） 7.6系

　本セキュリティ脆弱性は共通脆弱性評価システムCVSS（CVSS） v3でスコアが9.8とされており、深刻度は緊急（Critical）に該当する。

　本稿執筆時点においては、まだ修正版は提供されていない。HPE Systems Insight Manager（SIM） for Windowsに対する緩和策だけが提示されている。HPEは現在修正版の開発に取り組んでいるものと見られる。該当する製品を使用している場合は修正版が提供されるまでの間、緩和策を適用してほしい。