Przełączniki sieciowe Dell OS10 w wersjach 10.5.2.x i nowszych zawierają podatność typu command injection w mechanizmie zdalnego uwierzytelniania użytkowników. Niezauwierzytelniony atakujący zdalnie może wykonać dowolne polecenia systemowe i przejąć kontrolę nad urządzeniem.
▸ Pokaż oryginał (EN)
Dell OS10 Networking Switches running 10.5.2.x and above contain an OS command injection vulnerability when using remote user authentication. A remote unauthenticated attacker could potentially exploit this vulnerability, leading to the execution of arbitrary OS commands and possible system takeover. This is a critical vulnerability as it allows an attacker to cause severe damage. Dell recommends customers to upgrade at the earliest opportunity.
Podatność wynika z nieprawidłowej walidacji danych wejściowych (CWE-20) przekazywanych podczas procesu zdalnego uwierzytelniania użytkowników. Niewystarczające filtrowanie umożliwia wstrzyknięcie złośliwych poleceń systemowych (CWE-78), które są następnie wykonywane przez system operacyjny przełącznika. Atak nie wymaga żadnego wcześniejszego uwierzytelnienia ani interakcji ze strony użytkownika, a wektor sieciowy sprawia, że może być przeprowadzony w pełni zdalnie.
Atakujący może wykonać dowolne polecenia na poziomie systemu operacyjnego urządzenia, co w efekcie prowadzi do pełnego przejęcia kontroli nad przełącznikiem sieciowym. Skutkiem może być naruszenie poufności, integralności i dostępności całej infrastruktury sieciowej opartej na podatnych urządzeniach.
Dell zaleca jak najszybszą aktualizację oprogramowania. Szczegółowe informacje o dostępnych patchach znajdują się w biuletynie bezpieczeństwa Dell DSA-2023-124 pod adresem: https://www.dell.com/support/kbdoc/en-us/000216584/dsa-2023-124-security-update-for-dell-smartfabric-os10-multiple-vulnerabilities
Dell SmartFabric OS10 Networking Switches w wersjach 10.5.2.x i nowszych
Podatność opisana w biuletynie Dell DSA-2023-124 jako część zestawu wielu podatności w Dell SmartFabric OS10. Karta opublikowana 2024-02-15, mimo że biuletyn producenta nosi datę z 2023 roku.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDell Smartfabric Os10
OSDell10.5.5.010.5.5.110.5.5.210.5.5.310.5.3.0 – 10.5.3.8 (bez)10.5.4.0 – 10.5.4.8 (bez)10.5.2.0 – 10.5.2.12 (bez)
Powiązane podatności
Podatność zeroMQ w Dell OS10 — ujawnienie danych i DoS przy konfiguracji VLT
Dell SmartFabric OS10 Software, versions prior to 10.6.1.0, contain an Improper Neutralization of Special Elem...
Dell SmartFabric OS10 Software, versions prior to 10.6.1.0, contain an Improper Neutralization of Special Ele...
Dell SmartFabric OS10 Software, version(s) 10.5.6.x, contain(s) a Use of Hard-coded Password vulnerability. An...
Dell SmartFabric OS10 Software, version(s) 10.5.4.x, 10.5.5.x, 10.5.6.x, 10.6.0.x, contain(s) an Execution wit...