Уязвимость операционной системы PowerScale OneFS связана с использованием пароля по умолчанию. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к учетной записи пользователя
Использование рекомендаций:
https://www.dell.com/support/kbdoc/en-us/000300860/dsa-2025-119-security-update-for-dell-powerscale-onefs-for-multiple-security-vulnerabilities
В случае невозможности установки обновлений рекомендуется использовать один из вариантов компенсирующих мер:
1. Добавьте затронутых пользователей в список «Пользователи, которых нельзя изменить».
Для кластеров, которые не перешли на типы хэшей SHA256 или SHA512:
isi auth file modify System --add-unmodifiable-users=compadmin,remotesupport,ese,insightiq,www,nobody,git_daemon,isdmgmt --remove-modifiable-users=compadmin,remotesupport,ese,insightiq,www,nobody,git_daemon,isdmgmt --restrict-modifiable=true
Для кластеров, которые перешли на типы хэшей SHA256 или SHA512 добавьте указанных выше пользователей, а также других пользователей поставщика файлов с системными привилегиями:
isi auth file modify System --add-unmodifiable-users=root,admin --remove-modifiable-users=root,admin --restrict-modifiable=true
После применения патча, если вы используете пользователей, вы можете снова сделать их изменяемыми.
2. Для кластеров, не перешедших на типы хэшей SHA256 или SHA512 установите/сбросьте пароль для пользователей, которые не заблокированы для изменения в поставщике файлов зоны System, а также их отключения:
compadmin, remotesupport, ese, insightiq, www, никто, git_daemon, isdmgmt
3. Отключите WebUI и API через CLI:
isi http services modify Platform-API-External --enabled=false
Это не устраняет проблему полностью, поскольку ею все равно могут воспользоваться пользователи с привилегиями ISI_PRIV_LOGIN_CONSOLE или ISI_PRIV_LOGIN_SSH.
4. Ограничьте доступ к API и WebUI доверенными сетями с помощью правила брандмауэра.
- включите брандмауэр:
- в «default_pools_policy» измените «rule_isi_webui», чтобы ограничить «исходную сеть» доверенным набором сетей/IP-адресов.
Это не устраняет проблему полностью, поскольку ею по-прежнему могут злоупотреблять пользователи с привилегиями ISI_PRIV_LOGIN_CONSOLE или ISI_PRIV_LOGIN_SSH, а также пользователи с IP-адресами, разрешенными через брандмауэр.
| Балл | 10 — критическая опасность |