Breaking News

Dell EMC ออกแพทช์อุดช่องโหว่ร้ายแรงบน VMAX Enterprise Storage Systems

Dell EMC ผู้ให้บริการโซลูชัน Backup & Storage ชั้นนำของโลก ประกาศออกแพทช์อุดช่องโหว่ความรุนแรงสูงรวม 6 รายการบน VMAX Enterprise Storage Systems ซึ่งเสี่ยงต่อการถูกแฮ็คเข้าควบคุมระบบและข้อมูลไฟล์สำคัญรั่วไหลสู่ภายนอก

img_0103

3 ใน 6 ของช่องโหว่เหล่านั้นมีความรุนแรงระดับ Critical ซึ่งมีรายละเอียดดังนี้

  • ช่องโหว่แรกค้นพบบน Unisphere for VMAX Enterprise Storage Arrays ซึ่งให้บริการ Web-based Management Interface สำหรับทำการ Provision, Manage และ Monitor ระบบ VMAX ซึ่งช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูล Arbitrary Text Files จาก Virtual Appliance โดยใช้สิทธิ์ของ Root และไม่ต้องพิสูจน์ตัวตนได้
  • ช่องโหว่ที่ 2 พบบนแอพพลิเคชัน vApp Manager for Unisphere ซึ่งรันอยู่บนพอร์ท 5480 แฮ็คเกอร์สามารถส่งคำสั่งแปลกปลอมเข้ามารันผ่านทางคลาสที่เรียกว่า GetSymmCmdCommand ได้ตามต้องการโดยไม่ต้องพิสูจน์ตัวตน
  • vApp Manager ยังมีอีกช่องโหว่ที่ค้นพบบนคลาส RemoteServiceHandler ซึ่งช่วยให้แฮ็คเกอร์สามารถบายพาสการพิสูจน์ตัวตนและเรียกใช้งานคลาสสำคัญอื่นๆ ได้ตามต้องการ ส่งผลให้แฮ็คเกอร์สามารถรันคำสั่งแปลกปลอมโดยใช้สิทธิ์ของ Root ได้ทันที

นอกจากนี้ยังมีอีก 3 ช่องโหว่ความรุนแรงระดับ High บน vApp Manager ซึ่งช่วยให้แฮ็คเกอร์ที่มีสิทธิ์ระดับต่ำสามารถรันคำสั่งแปลกปลอมโดยใช้สิทธิ์ของ Root ได้ แต่จำเป็นต้องพิสูจน์ตัวตนเข้ามาก่อน

รายละเอียดเพิ่มเติม: https://www.digitaldefense.com/emc-unissphere-vulnerabilities/

ที่มา: http://www.networkworld.com/article/3126815/dell-emc-patches-critical-flaws-in-vmax-enterprise-storage-systems.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft แพตช์อุดช่องโหว่เดือนสิงหาคม มี Zero-day 2 รายการถูกใช้แล้ว แนะเร่งอัปเดต

สำหรับแพตช์ประจำเดือนสิงหาคมในส่วนผลิตภัณฑ์จาก Microsoft นั้น มีจำนวน 120 รายการ โดยกว่า 17 รายการเป็นช่องโหว่ร้ายแรง ซึ่ง 2 รายการนั้นพบการใช้โจมตีจริงแล้ว ด้วยเหตุนี้จึงเตือนให้ผู้ใช้งานกรุณาอัปเดตครับ

Oracle Webinar: ลดการลงทุนด้านเทคโนโลยีอย่างสูญเปล่าด้วย Oracle Cloud Infrastructure (Gen 2)

Oracle ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าฟังบรรยาย Oracle Webinar เรื่อง “ลดการลงทุนด้านเทคโนโลยีอย่างสูญเปล่าด้วย Oracle Cloud Infrastructure” พร้อมแนะนำการทำ Application Modernization เพื่อพลิกโฉมธุรกิจในยุค New Normal ในวันอังคารที่ 18 สิงหาคม 2020 เวลา 14:00 น. ผ่าน Live Webinar ฟรี