Критическая уязвимость в системах хранения Dell: предустановленные учётные данные открывают доступ к защищённой информации

vulnerability

Специалисты по информационной безопасности зафиксировали опасную проблему в двух популярных платформах корпоративного хранения данных от компании Dell Technologies. Речь идёт об уязвимости, которая получила идентификатор BDU:2026-08721, а в международной классификации - CVE-2026-40636. Угроза оказалась настолько серьёзной, что ей присвоен критический уровень опасности по шкале CVSS - 9,8 балла из 10 возможных. Для сравнения: максимальную оценку 10 получают лишь уязвимости, позволяющие полностью компрометировать систему без какого-либо вмешательства пользователя.

Детали уязвимости

Суть проблемы кроется в допущенной инженерами Dell ошибке, относящейся к классу CWE-798 - жёсткое кодирование регистрационных данных. Простыми словами, это означает, что в программном коде или конфигурационных файлах были "зашиты" предустановленные пароли и имена пользователей. Такие учётные записи часто создаются производителем для начальной настройки, но если их не изменить или не отключить после развёртывания системы, они становятся лёгкой добычей для злоумышленников.

Под удар попали две линейки продуктов: Dell Elastic Cloud Storage (ECS) - платформа для облачных хранилищ предприятия, и Dell ObjectScale - система виртуализации для работы с объектными данными. Уязвимыми оказались версии ECS с 3.8.1.0 по 3.8.1.7 включительно, а также все сборки ObjectScale до версии 4.3.0.0. Учитывая, что эти решения используются крупными организациями для хранения резервных копий, баз данных и другой критической информации, потенциальные последствия атаки могут быть катастрофическими.

Злоумышленник, обнаруживший такие предустановленные учётные данные, получает возможность удалённо аутентифицироваться на уязвимом хранилище. Поскольку вектор атаки сетевой, а для эксплуатации не требуется никаких дополнительных привилегий или действий жертвы (параметры CVSS: AV:N/AC:L/PR:N), нарушитель может сразу приступить к краже данных. В описании уязвимости прямо указано, что результатом становится раскрытие защищаемой информации. При этом через ту же учётную запись возможно полное управление системой - вплоть до изменения конфигурации и уничтожения данных.

В официальных рекомендациях Dell говорится, что уязвимость уже устранена в обновлениях программного обеспечения. Производитель опубликовал бюллетень безопасности DSA-2026-047 и ссылку на страницу поддержки, где можно скачать исправленные версии. Для ECS это, вероятно, версия 3.8.1.8 или новее, для ObjectScale - 4.3.0.0 и выше.

Какие выводы должны сделать специалисты по безопасности? Прежде всего - как можно скорее проверить используемые версии Dell ECS и ObjectScale. Если они попадают в уязвимый диапазон, необходимо немедленно установить обновление. Даже если компания считает, что её хранилище изолировано от внешнего доступа, риск остаётся: злоумышленник может проникнуть во внутреннюю сеть через другие уязвимости и затем атаковать хранилище изнутри. Кроме того, стоит провести аудит всех предустановленных учётных записей в инфраструктуре - не только на системах хранения, но и на сетевом оборудовании, серверах и прикладном ПО.

Случай с Dell лишний раз напоминает: жёсткое кодирование паролей - это не просто небрежность разработчиков, а прямая угроза безопасности бизнеса. По данным Банка данных угроз безопасности информации (BDU), подобные ошибки входят в десятку самых распространённых причин успешных кибератак на корпоративные системы. И хотя производитель уже выпустил исправление, главная ответственность лежит на администраторах и службах информационной безопасности. Только регулярное обновление и смена паролей по умолчанию могут предотвратить утечку данных.

Ссылки

Комментарии: 0