Dell EMC исправила 6 уязвимостей в интерфейсе платформы для управления корпоративными данными VMAX, в том числе ряд проблем, позволяющих удаленно выполнить произвольную команду с правами суперпользователя и полностью скомпрометировать систему. Ошибки затрагивают ПО Unisphere для VMAX и приложение vApp Manager (версии 8.0.x – 8.2.x).
Одна из критических уязвимостей содержится в библиотеке GraniteDS, реализованной в ПО Unisphere для VMAX, предназначенном для управления и мониторинга систем хранения данных. Проблема позволяет неаутентифицированному атакующему извлечь произвольные текстовые файлы с правами суперпользователя.
Компания также устранила две критические уязвимости в приложении vApp Manager для Unisphere, проэксплуатировав которые неавторизованный злоумышленник при помощи специально сформированного AMF-сообщения может выполнить произвольную команду и полностью скомпрометировать систему. Одна из них затрагивает класс GetSymmCmdCommand, вторая – RemoteServiceHandler. В результате успешной эксплуатации последней злоумышленник может выполнить произвольную команду с правами суперпользователя, добавить новую учетную запись администратора и получить полный контроль над системой.
Помимо вышеуказанных, в vApp Manager исправлены три уязвимости, классифицированные как опасные, так как их эксплуатация требует авторизации. Тем не менее, все три проблемы позволяют пользователю с низким уровнем привилегий повысить права на системе и выполнить произвольную команду. (Dell/NovostIT)
