Dell PowerScale OneFS の脆弱性 CVE-2025-27690 などが FIX:速やかな対応が必須

Dell Addresses Security Vulnerabilities in PowerScale OneFS

2025/04/10 SecurityOnline — Dell が発表したのは、同社のスケールアウト NAS (Network-Attached Storage) オペレーティング・システム PowerScale OneFS における、複数の脆弱性に対処するセキュリティ・アドバイザリである。これらの脆弱性が脅威アクターにより悪用されると、影響を受けるシステムへの侵入を許すことになるという。

このアドバイザリで説明される脆弱性には、以下のものが含まれる。

CVE-2025-27690 (CVSS:9.8):PowerScale OneFS のバージョン 9.5.0.0~9.10.1.0 における、デフォルト・パスワード使用の脆弱性。この脆弱性の悪用に成功した、リモートアクセス権限を持つ未認証の攻撃者は、高権限を持つユーザー・アカウントの乗っ取りの機会を得る。

CVE-2025-26330 (CVSS:7.0):PowerScale OneFS のバージョン 9.4.0.0~9.10.0.1 における不正な認証の脆弱性。この脆弱性の悪用に成功した、ローカル・アクセス権限を持つ未認証の攻撃者は、無効化されたユーザー・アカウントの権限を用いた、クラスターに不正アクセスする機会を得る。

CVE-2025-22471 (CVSS:6.5):PowerScale OneFS のバージョン 9.4.0.0 ~ 9.10.0.1 における整数オーバーフロー/ラップアラウンドの脆弱​​性。この脆弱性の悪用に成功した、リモートアクセスを持つ未認証の攻撃者は、サービス拒否を引き起こす可能性を手にする。

CVE-2025-26480 (CVSS:5.3):PowerScale OneFS のバージョン 9.5.0.0 ~ 9.10.0.0 における制御されないリソース消費の脆弱性。この脆弱性の悪用に成功した、リモートアクセスを持つ未認証の攻撃者は、サービス拒否を引き起こす機会を得る。

CVE-2025-23378:PowerScale OneFS のバージョン 9.4.0.0 ~ 9.10.0.0 におけるディレクトリ・リストによる情報漏洩の脆弱性。この脆弱性の悪用に成功した、ローカル・アクセスを持つ低権限の攻撃者は、情報を漏洩する可能性を得る。

CVE-2025-26479:(CVSS:3.1):PowerScale OneFS のバージョン 9.4.0.0 ~ 9.10.0.0 における境界外書き込みの脆弱性。この脆弱性の悪用に成功した攻撃者は、NFS ワークフローにおいて、データ整合性の問題を引き起こす可能性を手にする。

この Dell のアドバイザリでは、各 CVE の影響を受ける PowerScale OneFS バージョンと、それに対応する修正バージョンについて、詳細が説明されている。大半のケースにおいて、PowerScale OneFS のバージョン 9.10.1.1 以降にアップグレードすることで、一連の脆弱性は解決される。その一方で、特定の脆弱性については、古い OneFS リリース向けの修正バージョンが提供されている。Dell が提供するものには、必要なアップデートを入手するための、PowerScale OneFS ダウンロード・エリアへのリンクがある。

最も重大度の高い脆弱性 CVE-2025-27690 に関しては、アップグレード/パッチが適用されるまでの間に実施できる、いくつかの回避策が提供されている。具体的には、以下のようになる:

  • 影響を受けるユーザーを “Users who cannot be modified” リストに追加。
  • 変更がブロックされていないユーザーのパスワードを、設定/リセットし、無効化する。
  • CLI 経由で、WebUI と API を無効化する。
  • ファイアウォール・ルールを使用して、API と WebUI へのアクセスを、信頼できるネットワークに制限する。

注意してほしいのは、これらの回避策の中には、リスクを完全に軽減できないものがある点だ。Dell が推奨するのは、修正リリースへのアップグレードまたは、パッチの適用による解決である。

Dell PowerScale OneFS の複数の脆弱性が FIX しました。なかでも、一番深刻な脆弱性 CVE-2025-27690 は CVSS 値が 9.8 と評価されています。ご利用のチームは、アップデートを忘れないよう、ご注意ください。なお、Dell 関連の直近の脆弱性は 2025/03/19 の「Dell SmartFabric OS10 の複数の脆弱性が FIX:権限昇格/不正アクセス/コード実行/SSRF などの恐れ」となります。よろしければ、Dell で検索と併せて、ご参照ください。