Dell nalega, aby klienci korzystający z produktów PowerProtect zapoznali się z nowo opublikowanym poradnikiem dotyczącym bezpieczeństwa i załatali szereg potencjalnie poważnych luk w zabezpieczeniach.
Luki dotyczą urządzeń z serii PowerProtect Data Domain (DD), które zaprojektowano, aby pomóc organizacjom chronić dane, zarządzać nimi i odzyskiwać je na dużą skalę. Problem dotyczy również pamięci masowej APEX Protect, centrum zarządzania PowerProtect DD, urządzeń z serii PowerProtect DP i urządzeń PowerProtect Data Manager.
Najpoważniejszą z wad – z wynikiem CVSS wynoszącym 8,8 – jest CVE-2023-44286, opisywana jako problem związany ze skryptami krzyżowymi (XSS) opartymi na DOM. Umożliwia zdalnemu nieuwierzytelnionemu atakującemu wstrzyknięcie złośliwego kodu do docelowej przeglądarki użytkownika.
Eksploiatacja może prowadzić do fałszowania żądań klienta, kradzieży sesji i ujawnienia informacji. Chociaż nie jest to określone w poradniku firmy Dell, wykorzystanie tego typu usterek zazwyczaj polega na nakłonieniu ofiary do kliknięcia złośliwego linka.
Kilku innym podatnościom przypisano ocenę wysokiej ważności, łącznie z lukami dotyczącymi wstrzykiwania poleceń systemu operacyjnego i błędów w niewłaściwej kontroli dostępu.
Ataki polegające na wstrzykiwaniu poleceń mogą zostać wykorzystane do wykonania dowolnych poleceń w podstawowym systemie operacyjnym oraz pozwolić osobie atakującej na przejęcie kontroli nad docelowym systemem.
Eksploiatacja wymaga lokalnego dostępu i niskich lub podwyższonych uprawnień. Osoba atakująca może jednak wykorzystać lukę taką jak CVE-2023-44286 w celu spełnienia wymogu uwierzytelnienia.
Uwierzytelniony atakujący może wykorzystać trzy średnio istotne luki w produktach PowerProtect w celu ominięcia ograniczeń bezpieczeństwa i przejęcia systemu, uzyskania dostępu do odczytu i zapisu plików systemu operacyjnego oraz wykonania dowolnych poleceń SQL w bazie danych zaplecza aplikacji i uzyskania dostępu do odczytu danych aplikacji.
„Firma Dell Technologies udostępniła rozwiązania zaradcze dla luk w zabezpieczeniach niektórych produktów Dell PowerProtect Data Domain. Zachęcamy klientów do natychmiastowego przejrzenia i wdrożenia kroków zaradczych opisanych w Poradniku dotyczącym zabezpieczeń firmy Dell (DSA-2023-412) w przypadku produktów, wersji i dodatkowych informacji, których dotyczy problem. Bezpieczeństwo naszych produktów jest dla nas najwyższym priorytetem i ma kluczowe znaczenie dla ochrony naszych klientów” – stwierdziła firma w oświadczeniu udostępnionym portalowi SecurityWeek. Podała też, że szybko naprawiła lukę i obecnie nie ma informacji o żadnym aktywnym wykorzystaniu podatności w praktyce.
Warto zauważyć, że jest wiadome, iż luki w zabezpieczeniach produktów Dell zostały wykorzystane w atakach przez wyrafinowane ugrupowania cyberprzestępcze.
Na koniec przypomnijmy, że Dell poinformował niedawno klientów o bardzo istotnej luce w zabezpieczeniach, umożliwiającej eskalację uprawnień w systemie BIOS serwera PowerEdge, dziesiątkach usterek w produktach PowerMax i Unisphere oraz dziesiątkach luk w zabezpieczeniach mających wpływ na komponenty VxRail Manager innych firm.