CRITICAL🇬🇧 English

CVE-2024-0002

Obejście uwierzytelnienia w Pure Storage FlashArray Purity (CVSS 10.0)

CVSS 10.0v3.1pub. 2024-09-23upd. 2024-09-27

W systemie Pure Storage FlashArray Purity istnieje podatność umożliwiająca atakującemu wykorzystanie uprzywilejowanego konta do uzyskania zdalnego dostępu do macierzy. Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją ekstremalnie krytyczną.

Pokaż oryginał (EN)

A condition exists in FlashArray Purity whereby an attacker can employ a privileged account allowing remote access to the array.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-287 (nieprawidłowe uwierzytelnienie) pozwala atakującemu na zdalny dostęp do macierzy FlashArray z wykorzystaniem uprzywilejowanego konta. Atak nie wymaga żadnych wcześniejszych uprawnień, interakcji użytkownika ani spełnienia szczególnych warunków sieciowych — jest możliwy przez sieć bez uwierzytelnienia. Zakres podatności wykracza poza sam system, na którym podatność istnieje (Scope: Changed), co wskazuje na możliwość oddziaływania na szerzej rozumianą infrastrukturę.

Skutki

Atakujący może uzyskać pełny, zdalny dostęp do macierzy z poziomem uprawnień administracyjnych, co skutkuje całkowitą utratą poufności, integralności i dostępności przechowywanych danych.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Pure Storage pod adresem https://purestorage.com/security. Do czasu wdrożenia poprawki należy rozważyć ograniczenie dostępu sieciowego do interfejsów zarządzania macierzą wyłącznie do zaufanych hostów administracyjnych.

Kogo dotyczy

Pure Storage FlashArray Purity (Purity//FA) — konkretne wersje wskazane w referencjach producenta dostępnych pod adresem purestorage.com/security

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Purestorage Purity\/\/fa

    APP
    Purestorage
    6.5.06.0.7 – 6.0.96.1.8 – 6.1.255.3.17 – 5.3.216.3.0 – 6.3.146.4.0 – 6.4.106.2.0 – 6.2.17
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-0001CRITICAL10.0PL ✓ten sam produkt

FlashArray Purity — aktywne konto lokalne umożliwia privilege escalation

CVE-2024-0005CRITICAL9.1PL ✓ten sam produkt

Command injection w Pure Storage Purity poprzez konfigurację SNMP

CVE-2024-0004CRITICAL9.1PL ✓ten sam produkt

Zdalne wykonanie kodu z eskalacją uprawnień w Pure Storage FlashArray Purity

CVE-2024-0003CRITICAL9.1PL ✓ten sam produkt

Pure Storage FlashArray Purity — nieautoryzowane tworzenie konta z uprawnieniami

CVE-2022-32554CRITICAL9.8ten sam produkt

Pure Storage FlashArray products running Purity//FA 6.2.0 - 6.2.3, 6.1.0 - 6.1.12, 6.0.0 - 6.0.8, 5.3.0 - 5.3....