Dell Technologies 发布了一则重要安全公告,提醒客户注意 PowerScale OneFS 中存在的多个严重漏洞,这些漏洞可能会让攻击者获取高权限用户账户的控制权。
其中最严重的漏洞被赋予了 9.8 的通用漏洞评分系统(CVSS)评分,这使得未经身份验证的远程攻击者能够轻而易举地入侵受影响的系统。
PowerScale OneFS 严重漏洞 ——CVE-2025-27690
最令人担忧的漏洞(CVE-2025-27690)影响 PowerScale OneFS 9.5.0.0 至 9.10.1.0 版本,该漏洞涉及默认密码漏洞的使用。
这一漏洞使得未经身份验证的远程攻击者能够利用默认密码漏洞获取高权限账户的控制权,对企业存储基础设施构成了重大风险。
根据 Dell 的公告,“具有远程访问权限的未经身份验证的攻击者有可能利用此漏洞,进而接管高权限用户账户。”
这个严重漏洞的严重程度评级最高,其 CVSS 向量字符串为 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,这表明利用该漏洞无需特殊权限或用户交互。
其他安全漏洞
一个重大漏洞(CVE-2025-26330)影响 9.4.0.0 至 9.10.0.1 版本,涉及授权错误问题。
这一漏洞可能会让具有本地访问权限的攻击者利用已禁用用户账户的先前权限来访问集群。
该漏洞的 CVSS 评分为 7.0,对企业环境构成了重大风险。
安全研究人员还发现了一个整数溢出漏洞(CVE-2025-22471),影响 9.4.0.0 至 9.10.0.1 版本,可能会导致拒绝服务情况的发生。
此外,CVE-2025-26480 是一个不受控制的资源消耗漏洞,同样会引发拒绝服务攻击。
这些漏洞为针对 Dell 企业存储解决方案的攻击提供了多种攻击途径。最严重的漏洞可直接绕过身份验证:
1.远程攻击者将目标锁定为暴露的 PowerScale OneFS 管理界面。
2.利用 CVE-2025-27690 漏洞获取高权限账户的访问权限。
3.攻击者获得存储基础设施的系统级控制权。
安全专家警告称,运行未打补丁的 PowerScale OneFS 系统的组织,其数据完整性和系统可用性面临重大风险。
缓解措施
Dell 建议客户立即升级到已修复漏洞的版本。对于包括严重的 CVE-2025-27690 在内的大多数漏洞,升级到 9.10.1.1 或更高版本即可提供防护。
对于无法立即进行更新的组织,Dell 提供了几种解决方法:
1.将受影响的用户添加到 “不可修改用户” 列表中。
2.在系统区域文件提供程序中为未被阻止修改的用户设置 / 重置密码。
3.通过命令行界面(CLI)禁用 Web 用户界面(WebUI)和应用程序编程接口(API)。
4.实施防火墙规则,限制来自可信网络对 API 和 WebUI 的访问。
Dell 强调,各组织应根据 CVSS 基本评分以及任何可能影响其特定环境中漏洞严重程度的相关时间和环境因素,优先进行这些更新。
该公司强烈鼓励所有客户采用长期支持(LTS)2025 版本,即 9.10.1.x 代码系列,并安装最新的维护版本(目前为 9.10.1.1)。
发表评论
您还未登录,请先登录。
登录