В реестре Банка данных угроз безопасности информации (BDU) появилась новая запись под номером BDU:2026-02075, которая описывает критическую уязвимость в платформе хранения и аналитики данных Dell Data Lakehouse. Уязвимость, получившая идентификатор CVE-2025-46608, связана с ошибками разграничения доступа (CWE-284) и позволяет удаленному злоумышленнику, уже имеющему доступ к системе, повысить свои привилегии до максимального уровня. Производитель уже подтвердил проблему и выпустил обновление безопасности.
Детали уязвимости
Уязвимость затрагивает все версии программного обеспечения Dell Data Lakehouse до 1.6.0.0. Данная платформа относится к прикладному ПО информационных систем и программному обеспечению виртуализации, играя ключевую роль в управлении и анализе больших объемов корпоративных данных. Следовательно, её компрометация может привести к катастрофическим последствиям для бизнеса. Эксплуатация уязвимости происходит путем нарушения авторизации, что является классическим способом атаки при неправильной настройке контроля доступа.
Уровень опасности этой уязвимости оценивается как высокий по шкале CVSS 2.0 с базовым баллом 9.0 и как критический по более современной шкале CVSS 3.1 с баллом 9.1. Высокие оценки обусловлены сочетанием нескольких факторов. Во-первых, для атаки не требуется взаимодействие с пользователем (UI:N). Во-вторых, успешная эксплуатация позволяет злоумышленнику получить полный контроль над системой. Однако важно отметить, что для начала атаки нарушителю уже необходимы высокие привилегии в системе (PR:H), что несколько сужает круг потенциальных угроз, но делает её чрезвычайно опасной для инсайдеров или для ситуаций, когда учетные данные администратора уже скомпрометированы другими способами.
Основной вектор CVSS 2.0 (AV:N/AC:L/Au:S/C:C/I:C/A:C) указывает на то, что уязвимость может быть использована через сеть, имеет низкую сложность эксплуатации и для атаки требуется наличие хотя бы простой аутентификации. Вектор CVSS 3.1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H) дополнительно подчеркивает, что воздействие может распространяться на другие компоненты системы (Scope: Changed). Фактически, получив контроль над Data Lakehouse, злоумышленник может получить доступ ко всем хранящимся в ней данным, манипулировать ими или нарушить работоспособность всей аналитической платформы.
Компания Dell Technologies оперативно отреагировала на обнаруженную проблему. Уязвимость была устранена, и производитель выпустил бюллетень безопасности DSA-2025-375. Единственным надежным способом защиты является немедленное обновление программного обеспечения Dell Data Lakehouse до версии 1.6.0.0 или более новой. Все рекомендации и инструкции по установке исправления опубликованы на официальном портале технической поддержки Dell. Администраторам настоятельно рекомендуется применить патч как можно скорее, не дожидаясь появления активных эксплойтов.
На текущий момент наличие публичных эксплойтов, использующих данную уязвимость, не подтверждено. Однако высокая критичность и относительно низкая сложность эксплуатации делают её привлекательной целью для киберпреступников. В частности, подобные уязвимости повышения привилегий часто используются сложными угрозами, такими как APT, для закрепления в системе (persistence) и горизонтального перемещения по корпоративной сети после первоначального проникновения. Следовательно, закрытие этой бреши является важным элементом стратегии защиты данных.
Этот инцидент лишний раз подчеркивает важность своевременного управления обновлениями в сложных корпоративных системах хранения данных. Платформы класса Data Lakehouse, консолидирующие информацию из множества источников, становятся лакомой целью для атакующих. Регулярный аудит политик контроля доступа, применение принципа наименьших привилегий и оперативное внедрение патчей безопасности остаются краеугольными камнями защиты от подобных угроз. Обновление до актуальной версии Dell Data Lakehouse блокирует конкретный путь атаки, описанный в CVE-2025-46608, и является необходимым шагом для обеспечения безопасности корпоративных информационных активов.
Ссылки
- https://bdu.fstec.ru/vul/2026-02075
- https://www.cve.org/CVERecord?id=CVE-2025-46608
- https://www.dell.com/support/kbdoc/en-us/000390529/dsa-2025-375-security-update-for-dell-data-lakehouse-multiple-vulnerabilities
