Krytyczna luka w Storage Concentrator umożliwiająca zdalne wykonanie poleceń z uprawnieniami root
Krytyczna luka w Storage Concentrator umożliwia zdalne wykonanie poleceń z uprawnieniami root bez uwierzytelnienia.
- CVSS
- 10.0 CRITICAL
- EPSS
- 86.06%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Storage Concentrator (SC i SCVM) ma krytyczną lukę w skrypcie debug.pl, dostępną bez uwierzytelnienia. Zdalny atakujący może wysłać specjalnie spreparowane żądanie HTTP, które pozwala na wykonanie dowolnych poleceń z uprawnieniami root.
Wpływ biznesowy
Luka umożliwia atakującemu pełną kontrolę nad systemem, co może prowadzić do poważnych naruszeń bezpieczeństwa, utraty danych i przerw w działaniu usług. Infrastruktura korzystająca z podatnych wersji Storage Concentrator jest narażona na krytyczne zagrożenia, które mogą mieć wpływ na ciągłość biznesową i reputację firmy.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy Storage Concentrator. W międzyczasie ogranicz dostęp do interfejsu debug.pl, monitoruj logi pod kątem podejrzanych żądań HTTP oraz priorytetyzuj działania naprawcze w oparciu o ryzyko ekspozycji systemu.