Multiple Dell Unity Vulnerabilities Allow Attackers to Compromise Systems
2023/03/31 gbhackers — Dell Technologies が発表したのは、Dell Unity ストレージ・システムと関連ソフトウェアに存在する、複数の重大な脆弱性を詳述したセキュリティ・アドバイザリである。これらの脆弱性の悪用に成功した攻撃者は、不正アクセス/任意のコマンド実行などを達成し、影響を受けるシステム全体を侵害する機会を手にする。
脆弱性の説明
このアドバイザリは DSA-2025-116 として発行されたものであり、Dell Unity/UnityVSA/Unity XT プラットフォームと。そのオペレーティング環境 (OE) の重大な弱点を指摘している。
これらの脆弱性が影響を及ぼす範囲は、バージョン 5.5.0.0.5.259 未満であり、システム・コマンドにおける特殊要素の不適切な無効化や、オープン・リダイレクトの欠陥、OS コマンド・インジェクションのなどの、いくつかの問題に起因している。
特定された主要な CVE
- CVE-2025-22398:この脆弱性を悪用する未認証の攻撃者は、任意の OS コマンドをリモートで実行できる。それにより、ルート権限でシステムを完全に制御される可能性が生じる。
- CVE-2025-24383:上記の CVE-2025-22398 と同様に、攻撃者は、重要なシステム・ファイルをリモートで削除できる。
- CVE-2025-24381:このオープン・リダイレクトの脆弱性を悪用する攻撃者は、悪意のサイトへとユーザーをリダイレクトし、フィッシング攻撃やセッション・ハイジャックの標的にする可能性を得る。
- CVE-2024-49563〜CVE-2025-24386:いくつかの、ローカル権限昇格の欠陥が報告されている。それらの悪用により、アクセスが制限されている攻撃者であっても、ルート権限でコマンドを実行できるようになる。
これらの脆弱性の多くを報告した、Ubisectech Sirius のチームなどのセキュリティ研究者に対して、Dell は謝意を示している。
ユーザーへの影響
これらの脆弱性は Critical に分類されており、CVSS スコアは 7.3〜9.8 に分布している。悪用により生じるリスクは、以下のとおりである:
- システム全体の侵害
- 重要な機能の中断
- フィッシング攻撃の可能性
- ローカル/リモートでの権限昇格
ストレージ・ソリューションとしての、Dell Unity システムに依存している企業にとって、これらの脆弱性は大きなリスクとなる。
緩和策と更新
すでに Dell は、Unity オペレーティング環境 (OE) のバージョン 5.5.0.0.5.259 をリリースし、これらの脆弱性に対処している。ユーザーに対して強く推奨されるのは、速やかなアップデートにより、リスクを軽減することだ。
- Unity システムにおいて、バージョン 5.5.0.0.5.259 未満の実行を確認。
- Dell Support から、更新されたソフトウェアをダウンロードして適用。
- Dell のベスト・プラクティスに従ったシステムの保護。
Dell Unity ソリューションを使用している組織は、このパッチを優先して適用し、インフラを保護し、潜在的な攻撃を防ぐ必要がある。
Dell Unity ストレージ・システムと関連ソフトウェアに、複数の脆弱性が存在するとのことです。すでに修正バージョンが提供されていますので、ベンダー・アドバイザリを、ご確認ください。よろしければ、Dell で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.