Dell EMC ออกแพทช์อุดช่องโหว่ร้ายแรงบน VMAX Enterprise Storage Systems

Dell EMC ผู้ให้บริการโซลูชัน Backup & Storage ชั้นนำของโลก ประกาศออกแพทช์อุดช่องโหว่ความรุนแรงสูงรวม 6 รายการบน VMAX Enterprise Storage Systems ซึ่งเสี่ยงต่อการถูกแฮ็คเข้าควบคุมระบบและข้อมูลไฟล์สำคัญรั่วไหลสู่ภายนอก

img_0103

3 ใน 6 ของช่องโหว่เหล่านั้นมีความรุนแรงระดับ Critical ซึ่งมีรายละเอียดดังนี้

  • ช่องโหว่แรกค้นพบบน Unisphere for VMAX Enterprise Storage Arrays ซึ่งให้บริการ Web-based Management Interface สำหรับทำการ Provision, Manage และ Monitor ระบบ VMAX ซึ่งช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูล Arbitrary Text Files จาก Virtual Appliance โดยใช้สิทธิ์ของ Root และไม่ต้องพิสูจน์ตัวตนได้
  • ช่องโหว่ที่ 2 พบบนแอพพลิเคชัน vApp Manager for Unisphere ซึ่งรันอยู่บนพอร์ท 5480 แฮ็คเกอร์สามารถส่งคำสั่งแปลกปลอมเข้ามารันผ่านทางคลาสที่เรียกว่า GetSymmCmdCommand ได้ตามต้องการโดยไม่ต้องพิสูจน์ตัวตน
  • vApp Manager ยังมีอีกช่องโหว่ที่ค้นพบบนคลาส RemoteServiceHandler ซึ่งช่วยให้แฮ็คเกอร์สามารถบายพาสการพิสูจน์ตัวตนและเรียกใช้งานคลาสสำคัญอื่นๆ ได้ตามต้องการ ส่งผลให้แฮ็คเกอร์สามารถรันคำสั่งแปลกปลอมโดยใช้สิทธิ์ของ Root ได้ทันที

นอกจากนี้ยังมีอีก 3 ช่องโหว่ความรุนแรงระดับ High บน vApp Manager ซึ่งช่วยให้แฮ็คเกอร์ที่มีสิทธิ์ระดับต่ำสามารถรันคำสั่งแปลกปลอมโดยใช้สิทธิ์ของ Root ได้ แต่จำเป็นต้องพิสูจน์ตัวตนเข้ามาก่อน

รายละเอียดเพิ่มเติม: https://www.digitaldefense.com/emc-unissphere-vulnerabilities/

ที่มา: http://www.networkworld.com/article/3126815/dell-emc-patches-critical-flaws-in-vmax-enterprise-storage-systems.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Broadcom แยกขายส่วน End User Computing ของ VMware มูลค่า 4,000 ล้านเหรียญสหรัฐฯ

หลังจากที่ Broadcom ได้เริ่มเปลี่ยนแปลงหลายอย่างในธุรกิจของ VMware แต่ล่าสุดยังมีความเคลื่อนไหวใหญ่อีกครั้ง โดยมีดีลการขายกิจการส่วน VMware End User ซึ่งก็คือ Workspace ONE และ Horizon สู่มือของ …

NIST Cybersecurity Framework 2.0 ออกแล้ว

The National Institute of Standards and Technology (NIST) ได้ประกาศออก Cybersecurity Framework 2.0 (CSF) แล้ว โดยเพิ่มเนื้อหาที่ช่วยให้องค์กรทุกขนาดนำไปใช้ได้จริง …