脆弱性スキャナとActive IQ Unified Manager 9.13および9.14

環境

• Active IQ Unified Manager（AIQUM）9.13、9.14
  • RHEL/OVA/Windows
• CVE-2023-3223 &
• CVE-2023-1108

問題

• AIQUMは以下の問題に対して脆弱です： 
  • CVE-2023-3223
  • CVE-2023-1108
• これにより、Qualys/Crowdstrikeなどの脆弱性スキャナーでスキャンされた後、メモリとCPU使用率が継続的に増加します
  • これにより、ほとんどメモリ不足イベントが発生します。
  • サーバ監視システムからActive IQ Unified ManagerへのHTTPSプロトコル通信が繰り返しダウンし、復旧する
• 副作用として、以前の収集がスタックし、まだ実行中と見なされているため、インベントリとパフォーマンスの収集がスキップされ始めます
  • パフォーマンスグラフは Insufficient Historical Dataとともに表示されません
  • パフォーマンスグラフのギャップ
  • この状況は断続的に発生します。
• AIQUMはスケジュールされたレポートを送信できますが、レポート内のデータは特定の日以降更新されていません
• TCPセッションは脆弱性スキャナーからアプリケーション/サーバーに向かってクリアされません

• au.log は警告を表示します。

Data source is already performing a poll of netappstorageperformance. Therefore this poll is skipped.
-
Failed to obtain reconciliation-processing lock for 0:10:00.000 for datasource

• ocumserver.log にエラーが表示されます

Timeout occurred while waiting on collection completion listener ClusterSparesEventDetector..EnhancerBySpringCGLIB..abbaf0ec. Cancelling it so that others can continue

ERROR [oncommand] [reconciliation-0] [c.n.dfm.collector.OcieJmsListener] Ignoring PACKAGE_CHANGED at updateTime Tue <timestamp>, previous foundation poll at pollStartTime <timestamp> still being processed for ds=x(xxxxxx), adding to the droppedJmsDataSources list
ERROR [oncommand] [reconciliation-0] [c.n.dfm.collector.OcieJmsListener] Previous foundation poll at pollStartTime <timestamp> ongoing for ds=x(xxxxxx), adding to the droppedJmsDataSources list 

注: 脆弱性スキャナーが使用されていない環境でも、同様のアクセスパターンがこの問題を引き起こすことがあります。したがって、脆弱性スキャナーがないからといって、環境がこの問題の影響を受けないわけではありません。