W systemie FlashArray Purity (Pure Storage) istnieje podatność umożliwiająca zdalnemu złośliwemu użytkownikowi utworzenie konta administracyjnego na macierzy poprzez zdalną usługę administracyjną. Ze względu na uzyskiwany poziom uprawnień podatność jest oceniana jako krytyczna.
▸ Pokaż oryginał (EN)
A condition exists in FlashArray Purity whereby a malicious user could use a remote administrative service to create an account on the array allowing privileged access.
Atakujący wykorzystuje zdalną usługę administracyjną dostępną na urządzeniu FlashArray, aby w sposób nieautoryzowany utworzyć nowe konto użytkownika. Utworzone konto posiada podwyższone uprawnienia (privileged access), co umożliwia przejęcie kontroli nad macierzą. Błąd klasyfikowany jest jako nieprawidłowe zarządzanie uprawnieniami (CWE-269), co wskazuje na brak właściwej weryfikacji uprawnień wymaganych do wykonania tej operacji.
Atakujący może uzyskać uprzywilejowany dostęp do macierzy FlashArray, co w praktyce oznacza pełną kontrolę nad przechowywanymi danymi, konfiguracją urządzenia oraz potencjalnie całą infrastrukturą pamięci masowej — prowadząc do ujawnienia, modyfikacji lub zniszczenia danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi na stronie https://purestorage.com/security. Dodatkowo zaleca się ograniczenie dostępu do zdalnych usług administracyjnych wyłącznie do zaufanych sieci oraz wdrożenie monitorowania tworzenia nowych kont na urządzeniach FlashArray.
Pure Storage FlashArray Purity//FA — wersje wskazane w referencjach producenta (https://purestorage.com/security)
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HPurestorage Purity\/\/fa
APPPurestorage6.5.06.0.7 – 6.0.96.1.8 – 6.1.255.3.17 – 5.3.216.3.0 – 6.3.146.4.0 – 6.4.106.2.0 – 6.2.17
Powiązane podatności
FlashArray Purity — aktywne konto lokalne umożliwia privilege escalation
Command injection w Pure Storage Purity poprzez konfigurację SNMP
Zdalne wykonanie kodu z eskalacją uprawnień w Pure Storage FlashArray Purity
Obejście uwierzytelnienia w Pure Storage FlashArray Purity (CVSS 10.0)
Pure Storage FlashArray products running Purity//FA 6.2.0 - 6.2.3, 6.1.0 - 6.1.12, 6.0.0 - 6.0.8, 5.3.0 - 5.3....