CRITICAL🇬🇧 English

CVE-2024-0003

Pure Storage FlashArray Purity — nieautoryzowane tworzenie konta z uprawnieniami

CVSS 9.1v3.1pub. 2024-09-23upd. 2024-09-27

W systemie FlashArray Purity (Pure Storage) istnieje podatność umożliwiająca zdalnemu złośliwemu użytkownikowi utworzenie konta administracyjnego na macierzy poprzez zdalną usługę administracyjną. Ze względu na uzyskiwany poziom uprawnień podatność jest oceniana jako krytyczna.

Pokaż oryginał (EN)

A condition exists in FlashArray Purity whereby a malicious user could use a remote administrative service to create an account on the array allowing privileged access.

🤖 Analiza AI
Jak działa

Atakujący wykorzystuje zdalną usługę administracyjną dostępną na urządzeniu FlashArray, aby w sposób nieautoryzowany utworzyć nowe konto użytkownika. Utworzone konto posiada podwyższone uprawnienia (privileged access), co umożliwia przejęcie kontroli nad macierzą. Błąd klasyfikowany jest jako nieprawidłowe zarządzanie uprawnieniami (CWE-269), co wskazuje na brak właściwej weryfikacji uprawnień wymaganych do wykonania tej operacji.

Skutki

Atakujący może uzyskać uprzywilejowany dostęp do macierzy FlashArray, co w praktyce oznacza pełną kontrolę nad przechowywanymi danymi, konfiguracją urządzenia oraz potencjalnie całą infrastrukturą pamięci masowej — prowadząc do ujawnienia, modyfikacji lub zniszczenia danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi na stronie https://purestorage.com/security. Dodatkowo zaleca się ograniczenie dostępu do zdalnych usług administracyjnych wyłącznie do zaufanych sieci oraz wdrożenie monitorowania tworzenia nowych kont na urządzeniach FlashArray.

Kogo dotyczy

Pure Storage FlashArray Purity//FA — wersje wskazane w referencjach producenta (https://purestorage.com/security)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Purestorage Purity\/\/fa

    APP
    Purestorage
    6.5.06.0.7 – 6.0.96.1.8 – 6.1.255.3.17 – 5.3.216.3.0 – 6.3.146.4.0 – 6.4.106.2.0 – 6.2.17
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-0001CRITICAL10.0PL ✓ten sam produkt

FlashArray Purity — aktywne konto lokalne umożliwia privilege escalation

CVE-2024-0005CRITICAL9.1PL ✓ten sam produkt

Command injection w Pure Storage Purity poprzez konfigurację SNMP

CVE-2024-0004CRITICAL9.1PL ✓ten sam produkt

Zdalne wykonanie kodu z eskalacją uprawnień w Pure Storage FlashArray Purity

CVE-2024-0002CRITICAL10.0PL ✓ten sam produkt

Obejście uwierzytelnienia w Pure Storage FlashArray Purity (CVSS 10.0)

CVE-2022-32554CRITICAL9.8ten sam produkt

Pure Storage FlashArray products running Purity//FA 6.2.0 - 6.2.3, 6.1.0 - 6.1.12, 6.0.0 - 6.0.8, 5.3.0 - 5.3....

CVE-2024-0003 — Pure Storage FlashArray Purity — nieautoryzowane tworzenie konta z uprawnieniami — CRITICAL 9.1 | CVEbaza.pl