Dell PowerScale Vulnerability Let Attackers Gain Unauthorized Filesystem Access
2025/06/06 CyberSecurityNews — Dell PowerScale OneFS ストレージ OS に影響を与える、2件の脆弱性 CVE-2024-53298/CVE-2025-32753 が発見された。脆弱性 CVE-2024-53298 (CVSS:9.8) の悪用に成功した未認証の攻撃者は、企業のファイル・システム・データへの不正アクセスの可能性を手にする。この脆弱性は PowerScale OneFS バージョン 9.5.0.0〜9.10.0.1 に影響を及ぼすものであり、組織のデータ・セキュリティに対して、きわめて高いリスクとなる。
2つ目の脆弱性 CVE-2025-32753 (CVSS:5.3) は、SQL インジェクションに起因するものであり、攻撃者に対して、ローカルでの特権昇格攻撃をゆるす恐れがある。この2つの脆弱性を組み合わせる攻撃者は、企業ストレージに対して深刻な侵害を加える可能性を得る。
CVE-2024-53298:NFS エクスポート認証のバイパス
この脆弱性の原因は、Dell PowerScale OneFS における NFS (Network File System) エクスポート認証メカニズムが、根本的に破綻していることにある。この脆弱性の悪用に成功した未認証のリモート攻撃者は、セキュリティ制御を完全に回避し、ファイル・システムへの不正アクセスの可能性を得る。
この脆弱性の CVSS ベクター (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) は、ネットワーク経由で攻撃が可能であり、攻撃の複雑さが低く、特権やユーザー操作を必要とせず、データの機密性/完全性/可用性に重大な影響を与えることを示している。
PowerScale システムに業務に不可欠なデータを保存し、組織全体のファイル・ストレージのコアとして依存する企業環境において、この脆弱性の影響は特に深刻であり、大きなリスクをもたらす。
この脆弱性の悪用に成功した、未認証の攻撃者は、機密性の高い企業文書の読取/重要なシステム設定の改竄/ファイル・システム全体の削除などを実行できるという。
一般的なエンタープライズ環境において、NFS プロトコルはネットワーク接続ストレージに使用されるものであり、そこでの認証チェックが機能しない場合には、直接的な攻撃経路となってしまう。つまり、そのストレージ・システムは、ネットワークに接続した攻撃者にとって、自由にアクセスできるオープン・リポジトリと化してしまう。
| Risk Factors | Details |
| Affected Products | Dell PowerScale OneFS 9.5.0.0 through 9.10.0.1 |
| Impact | Unauthorized filesystem access (read, modify, delete arbitrary files) |
| Exploit Prerequisites | Unauthenticated attacker with remote access |
| CVSS 3.1 Score | 9.8 (Critical) |
CVE-2025-32753:SQL インジェクション
この脆弱性は、PowerScale OneFS システム内に、SQL インジェクション攻撃の経路をもたらすものだが、悪用にはローカル・アクセスと低レベルの権限を要する。
この脆弱性は、特殊要素の不正な無効化に起因するものであり、CVSS スコアは 5.3 と評価されている。この脆弱性の CVSS ベクター(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L) は、ローカル環境での攻撃と、低権限で実行が可能であり、中程度のリスクであることを示している。
この脆弱性を悪用する攻撃者は、データベース・クエリに悪意の SQL コマンドを注入し、サービス拒否状態/不正な情報開示/データ改竄などを引き起こす機会を得る。
この脆弱性は、前述の NFS 認証バイパスの脆弱性 CVE-2024-53298 ほど深刻ではないが、リモート・アクセスとの連鎖が成立すると、きわめて危険なものになる。つまり、脆弱性 CVE-2024-53298 により初期アクセスを得た攻撃者が、SQL インジェクションを利用して特権を昇格させることで、システム全体の完全な侵害に繋がる恐れが出てくる。
この脆弱性 CVE-2025-32753 も、バージョン 9.5.0.0〜9.10.0.1 に影響するため、該当する PowerScale 環境を運用している組織には、迅速な対応が求められる。アップグレードを放置すると、複合的なセキュリティ・リスクに直面することになる。
| Risk Factors | Details |
| Affected Products | Dell PowerScale OneFS 9.5.0.0 through 9.10.0.1 |
| Impact | Denial of service, information disclosure, data tampering |
| Exploit Prerequisites | Low-privileged attacker with local access |
| CVSS 3.1 Score | 5.3 (Medium) |
推奨される緩和策
Dell Technologies は、1つ目の脆弱性 CVE-2024-53298 を深刻度 Critical と評価している。顧客に対して強く推奨するのは、PowerScale OneFS システムの速やかなアップグレードである。
システム管理者に推奨されるのは、最初にネットワーク上の露出状況を確認し、一時的な緩和策としてネットワーク・レベルでのアクセス制御を講じることである。それと並行して、可能な限り早急に、修正済みの OneFS バージョンへとアップグレードしてほしい。
さらに、組織にとって必要なことは、PowerScale を導入している環境全体に対して包括的なセキュリティ監査を行い、不正アクセスやデータ漏洩の兆候を確認することだ。
リモート・アクセスとローカル特権昇格が連鎖させる洗練された脅威アクターにとって、企業のストレージ環境での持続的なアクセスの確立は、きわめて価値の高い攻撃対象領域となる。それに加えて、データ・セキュリティの維持や法令遵守の観点からも、迅速な対処が不可欠となる。
PowerScale OneFS に、NFS 認証のバイパスと SQL インジェクションの脆弱性が発見されました。この2つの脆弱性が連鎖すると、かなり深刻な状況になります。ご利用のチームは、ご注意ください。よろしければ、Dell で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.