CRITICAL🇬🇧 English

CVE-2022-36407

Hitachi Virtual Storage Platform — wyciek wrażliwych danych przez pliki logów

CVSS 9.9v3.1pub. 2024-03-25upd. 2026-04-15

Podatność klasy CWE-532 (Insertion of Sensitive Information into Log File) w rodzinie macierzy Hitachi Virtual Storage Platform umożliwia lokalnym użytkownikom uzyskanie dostępu do wrażliwych informacji przechowywanych w plikach logów. Wysoki wynik CVSS 9.9 wynika z szerokiego zakresu wpływu (Scope: Changed) oraz możliwości naruszenia poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

Insertion of Sensitive Information into Log File vulnerability in Hitachi Virtual Storage Platform, Hitachi Virtual Storage Platform VP9500, Hitachi Virtual Storage Platform G1000, G1500, Hitachi Virtual Storage Platform F1500, Hitachi Virtual Storage Platform 5100, 5500, 5100H, 5500H, Hitachi Virtual Storage Platform 5200, 5600, 5200H, 5600H, Hitachi Unified Storage VM, Hitachi Virtual Storage Platform G100, G200, G400, G600, G800, Hitachi Virtual Storage Platform F400, F600, F800, Hitachi Virtual Storage Platform G130, G150, G350, G370, G700, G900, Hitachi Virtual Storage Platform F350, F370, F700, F900, Hitachi Virtual Storage Platform E390, E590, E790, E990, E1090, E390H, E590H, E790H, E1090H allows local users to gain sensitive information.This issue affects Hitachi Virtual Storage Platform: before DKCMAIN Ver. 70-06-74-00/00, SVP Ver. 70-06-58/00; Hitachi Virtual Storage Platform VP9500: before DKCMAIN Ver. 70-06-74-00/00, SVP Ver. 70-06-58/00; Hitachi Virtual Storage Platform G1000, G1500: before DKCMAIN Ver. 80-06-92-00/00, SVP Ver. 80-06-87/00; Hitachi Virtual Storage Platform F1500: before DKCMAIN Ver. 80-06-92-00/00, SVP Ver. 80-06-87/00; Hitachi Virtual Storage Platform 5100, 5500,5100H, 5500H: before DKCMAIN Ver. 90-08-81-00/00, SVP Ver. 90-08-81/00, before DKCMAIN Ver. 90-08-62-00/00, SVP Ver. 90-08-62/00, before DKCMAIN Ver. 90-08-43-00/00, SVP Ver. 90-08-43/00; Hitachi Virtual Storage Platform 5200, 5600,5200H, 5600H: before DKCMAIN Ver. 90-08-81-00/00, SVP Ver. 90-08-81/00, before DKCMAIN Ver. 90-08-62-00/00, SVP Ver. 90-08-62/00, before DKCMAIN Ver. 90-08-43-00/00, SVP Ver. 90-08-43/00; Hitachi Unified Storage VM: before DKCMAIN Ver. 73-03-75-X0/00, SVP Ver. 73-03-74/00, before DKCMAIN Ver. 73(75)-03-75-X0/00, SVP Ver. 73(75)-03-74/00; Hitachi Virtual Storage Platform G100, G200, G400, G600, G800: before DKCMAIN Ver. 83-06-19-X0/00, SVP Ver. 83-06-20-X0/00, before DKCMAIN Ver. 83-05-47-X0/00, SVP Ver. 83-05-51-X0/00; Hitachi Virtual Storage Platform F400, F600, F800: before DKCMAIN Ver. 83-06-19-X0/00, SVP Ver. 83-06-20-X0/00, before DKCMAIN Ver. 83-05-47-X0/00, SVP Ver. 83-05-51-X0/00; Hitachi Virtual Storage Platform G130, G150, G350, G370, G700, G900: before DKCMAIN Ver. 88-08-09-XX/00, SVP Ver. 88-08-11-X0/02; Hitachi Virtual Storage Platform F350, F370, F700, F900: before DKCMAIN Ver. 88-08-09-XX/00, SVP Ver. 88-08-11-X0/02; Hitachi Virtual Storage Platform E390, E590, E790, E990, E1090, E390H, E590H, E790H, E1090H: before DKCMAIN Ver. 93-06-81-X0/00, SVP Ver. 93-06-81-X0/00, before DKCMAIN Ver. 93-06-62-X0/00, SVP Ver. 93-06-62-X0/00, before DKCMAIN Ver. 93-06-43-X0/00, SVP Ver. 93-06-43-X0/00.

🤖 Analiza AI
Jak działa

System zapisuje wrażliwe informacje — takie jak dane uwierzytelniające lub inne dane krytyczne — do plików logów w sposób niezabezpieczony. Lokalny użytkownik z podstawowymi uprawnieniami (PR:L) może odczytać te pliki i pozyskać informacje, do których normalnie nie powinien mieć dostępu. Ze względu na wektor sieciowy (AV:N) i brak wymagań dotyczących interakcji użytkownika (UI:N), podatność może być potencjalnie wykorzystana zdalnie przez uwierzytelnionego użytkownika. Uzyskane dane mogą posłużyć do dalszych działań w ramach infrastruktury storage.

Skutki

Atakujący może uzyskać dostęp do wrażliwych informacji zawartych w plikach logów, co może prowadzić do przejęcia kontroli nad systemem przechowywania danych oraz naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zaktualizować oprogramowanie DKCMAIN i SVP do wersji wskazanych w komunikacie bezpieczeństwa producenta (Hitachi Security Information 2022_313). Szczegółowe wersje patchy dla poszczególnych modeli dostępne są pod adresem: https://www.hitachi.com/products/it/storage-solutions/sec_info/2024/2022_313.html. Zaleca się również ograniczenie lokalnego dostępu do plików logów systemu do niezbędnego minimum (zasada najmniejszych uprawnień).

Kogo dotyczy

Hitachi Virtual Storage Platform (przed DKCMAIN Ver. 70-06-74-00/00, SVP Ver. 70-06-58/00), VP9500, G1000/G1500/F1500 (przed DKCMAIN Ver. 80-06-92-00/00, SVP Ver. 80-06-87/00), 5100/5500/5100H/5500H i 5200/5600/5200H/5600H (przed DKCMAIN Ver. 90-08-81-00/00 lub 90-08-62-00/00 lub 90-08-43-00/00), Hitachi Unified Storage VM (przed DKCMAIN Ver. 73-03-75-X0/00), G100/G200/G400/G600/G800 i F400/F600/F800 (przed DKCMAIN Ver. 83-06-19-X0/00 lub 83-05-47-X0/00), G130/G150/G350/G370/G700/G900 i F350/F370/F700/F900 (przed DKCMAIN Ver. 88-08-09-XX/00, SVP Ver. 88-08-11-X0/02), E390/E590/E790/E990/E1090/E390H/E590H/E790H/E1090H (przed DKCMAIN Ver. 93-06-81-X0/00 lub 93-06-62-X0/00 lub 93-06-43-X0/00)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje