Компания Dell Technologies подтвердила наличие критической уязвимости в своем программном обеспечении для управления системами хранения данных высокой производительности. Уязвимость, зарегистрированная в Банке данных угроз (BDU) под номером BDU:2026-01997, затрагивает приложение Dell Unisphere for PowerMax и его виртуальный аналог Unisphere for PowerMax Virtual Appliance. Проблема связана с недостаточной защитой от внедрения SQL-кода (SQL injection), что потенциально позволяет удаленному злоумышленнику выполнять произвольные команды в системе.
Детали уязвимости
Уязвимость, получившая идентификатор CVE-2025-36588, классифицируется как имеющая высокий уровень опасности. Эксперты оценили ее базовый балл по шкале CVSS 3.1 в 8.8 из 10 возможных. Поскольку для эксплуатации требуется лишь наличие учетной записи с правами доступа низкого уровня (PR:L), угроза становится особенно актуальной для корпоративных сред. Соответственно, атакующий, действуя удаленно через сеть (AV:N), может получить полный контроль над конфиденциальностью (C:H), целостностью (I:H) и доступностью (A:H) данных.
Проблема затрагивает все версии программного обеспечения Unisphere for PowerMax и Unisphere for PowerMax Virtual Appliance вплоть до 9.2.4.19. Данные продукты являются ключевыми компонентами для централизованного управления и мониторинга массивов хранения данных Dell PowerMax. Через их интерфейсы администраторы выполняют критически важные операции, включая конфигурацию, наблюдение за производительностью и устранение неполадок. Таким образом, успешная атака может привести к полной компрометации инфраструктуры хранения.
Технически уязвимость относится к классу CWE-89, то есть к ошибкам, связанным с недостаточными мерами по защите структуры SQL-запроса. На практике это означает, что неправильно обработанные пользовательские входные данные в веб-интерфейсе управления могут быть интерпретированы как часть команды базы данных. В результате злоумышленник способен не только читать, изменять или удалять информацию, но и, при определенных условиях, использовать функции СУБД для выполнения произвольного кода на операционной системе. Этот код может служить полезной нагрузкой (payload) для установки вредоносного (malicious) программного обеспечения, включая программы-вымогатели (ransomware), или для обеспечения устойчивости (persistence) в системе.
Важно отметить, что производитель уже выпустил необходимые исправления. Уязвимость была устранена в обновлениях, выпущенных по ссылке, указанной в бюллетене безопасности DSA-2025-425. Специалисты по кибербезопасности настоятельно рекомендуют администраторам, использующим уязвимые версии, немедленно установить патчи.
На текущий момент общедоступные сведения об активных атаках с использованием данной уязвимости отсутствуют, однако эта информация продолжает уточняться. Тем не менее, высокий рейтинг CVSS и относительная простота эксплуатации подобных уязвимостей делают ее привлекательной мишенью для злоумышленников. В частности, группы, специализирующиеся на целевых атаках (APT), могут проявить интерес к подобной возможности для проникновения в корпоративные сети.
Для организаций, которые не могут немедленно применить обновление, следует рассмотреть дополнительные меры контроля доступа. Административный интерфейс Unisphere должен быть полностью изолирован от публичного интернета и доступен только из доверенных сегментов внутренней сети. Кроме того, необходимо строго соблюдать принцип минимальных привилегий при назначении прав пользователям и регулярно проводить аудит их активности.
Обнаружение этой уязвимости подчеркивает важность регулярного аудита безопасности даже в специализированном программном обеспечении для инфраструктуры. Системы хранения данных часто содержат критически важную информацию, что делает их стратегическими целями для кибератак. Своевременное обновление и многоуровневая защита остаются ключевыми принципами поддержания безопасности в современной ИТ-среде. Производители, в свою очередь, должны продолжать усиливать проверку кода на этапе разработки, чтобы предотвращать классические ошибки, такие как внедрение SQL.
Ссылки
- https://bdu.fstec.ru/vul/2026-01997
- https://www.cve.org/CVERecord?id=CVE-2025-36588
- https://www.dell.com/support/kbdoc/en-us/000402262/dsa-2025-425-dell-powermaxos-dell-powermax-eem-dell-unisphere-for-powermax-dell-unisphere-for-powermax-virtual-appliance-dell-unisphere-360-dell-solutions-enabler-virtual-appliance-security-update-for-multiple-vulnerabilities
