Angreifer können an insgesamt sechs Schwachstellen ansetzen, um Netzwerkspeicher (NAS) mit Dells Betriebssystem PowerScale OneFS zu attackieren. Im schlimmsten Fall können Angreifer die volle Kontrolle über Geräte erlangen.
In einem Beitrag listen die Entwickler die Lücken auf und nennen weiterführende Informationen zu den bedrohten und abgesicherten Versionen. Eine Schwachstelle gilt als "kritisch"(CVE-2025-27690). Aufgrund eines Standard-Passworts können Angreifer mit Fernzugriff ohne Authentifizierung einen Account mit hohen Nutzerrechten übernehmen. Aufgrund der Einstufung des Schweregrads der Lücke ist davon auszugehen, dass sie Geräte im Anschluss vollständig kompromittieren können.
Weiterhin sind aufgrund eines Fehlers (CVE-2025-26330 "hoch") unbefugte Zugriffe durch einen lokalen Angreifer ohne Anmeldung möglich. Schuld daran ist, dass im Fall einer Account-Deaktivierung Rechte bestehen bleiben.
Die verbleibenden Schwachstellen sind mit "mittel" und "niedrig" eingestuft. An diesen Stellen können Angreifer unter anderem für DoS-Attacken ansetzen.
Ob es bereits Attacken gibt, geht aus der Warnmeldung von Dell nicht hervor. Unklar bleibt auch, an welchen Parametern Angreifer bereits attackierte NAS-Systeme erkennen können. Die Entwickler geben an, die Lücken in den folgenden Versionen von PowerScale OneFS geschlossen zu haben.
9.4.0.219.5.1.39.7.1.59.7.1.79.8.0.49.9.0.29.10.1.1Wenn Admins die Sicherheitsupdates nicht sofort installieren können, gibt es die Möglichkeit, Systeme zumindest vor Angriffen auf die kritische Lücke über Workarounds abzusichern. Wie das funktioniert, führen die Entwickler in der Warnmeldung aus.
(
Kommentare