ГлавнаяБаза уязвимостей БДУ → BDU:2025-04532
10критическая

BDU:2025-04532

Уязвимость операционной системы PowerScale OneFS, связанная с использованием пароля по умолчанию, позволяющая нарушителю получить доступ к учетной записи пользователя
Опубликовано: 2025-04-14
Описание

Уязвимость операционной системы PowerScale OneFS связана с использованием пароля по умолчанию. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к учетной записи пользователя

Затрагиваемое ПО и версии
PowerScale OneFS (от 9.8.0.0 до 9.8.0.2 включительно)PowerScale OneFS (от 9.5.0.0 до 9.5.1.2 включительно)PowerScale OneFS (от 9.6.0.0 до 9.7.1.6 включительно)PowerScale OneFS (от 9.9.0.0 до 9.9.0.2)PowerScale OneFS (от 9.10.0.0 до 9.10.1.0 включительно)
Способ устранения

Использование рекомендаций:
https://www.dell.com/support/kbdoc/en-us/000300860/dsa-2025-119-security-update-for-dell-powerscale-onefs-for-multiple-security-vulnerabilities

В случае невозможности установки обновлений рекомендуется использовать один из вариантов компенсирующих мер:
1. Добавьте затронутых пользователей в список «Пользователи, которых нельзя изменить».
Для кластеров, которые не перешли на типы хэшей SHA256 или SHA512:
isi auth file modify System --add-unmodifiable-users=compadmin,remotesupport,ese,insightiq,www,nobody,git_daemon,isdmgmt --remove-modifiable-users=compadmin,remotesupport,ese,insightiq,www,nobody,git_daemon,isdmgmt --restrict-modifiable=true
Для кластеров, которые перешли на типы хэшей SHA256 или SHA512 добавьте указанных выше пользователей, а также других пользователей поставщика файлов с системными привилегиями:
isi auth file modify System --add-unmodifiable-users=root,admin --remove-modifiable-users=root,admin --restrict-modifiable=true
После применения патча, если вы используете пользователей, вы можете снова сделать их изменяемыми.

2. Для кластеров, не перешедших на типы хэшей SHA256 или SHA512 установите/сбросьте пароль для пользователей, которые не заблокированы для изменения в поставщике файлов зоны System, а также их отключения:
compadmin, remotesupport, ese, insightiq, www, никто, git_daemon, isdmgmt

3. Отключите WebUI и API через CLI:
isi http services modify Platform-API-External --enabled=false
Это не устраняет проблему полностью, поскольку ею все равно могут воспользоваться пользователи с привилегиями ISI_PRIV_LOGIN_CONSOLE или ISI_PRIV_LOGIN_SSH.

4. Ограничьте доступ к API и WebUI доверенными сетями с помощью правила брандмауэра.
- включите брандмауэр:
- в «default_pools_policy» измените «rule_isi_webui», чтобы ограничить «исходную сеть» доверенным набором сетей/IP-адресов.
Это не устраняет проблему полностью, поскольку ею по-прежнему могут злоупотреблять пользователи с привилегиями ISI_PRIV_LOGIN_CONSOLE или ISI_PRIV_LOGIN_SSH, а также пользователи с IP-адресами, разрешенными через брандмауэр.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.dell.com/support/kbdoc/en-us/000300860/dsa-2025-119-security-update-for-dell-powerscale-onefs-for-multiple-security-vulnerabilities
Проверьте безопасность своего сайта и почты → Полная проверка домена