W systemie Pure Storage FlashArray Purity istnieje podatność umożliwiająca atakującemu wykorzystanie uprzywilejowanego konta do uzyskania zdalnego dostępu do macierzy. Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją ekstremalnie krytyczną.
▸ Pokaż oryginał (EN)
A condition exists in FlashArray Purity whereby an attacker can employ a privileged account allowing remote access to the array.
Podatność sklasyfikowana jako CWE-287 (nieprawidłowe uwierzytelnienie) pozwala atakującemu na zdalny dostęp do macierzy FlashArray z wykorzystaniem uprzywilejowanego konta. Atak nie wymaga żadnych wcześniejszych uprawnień, interakcji użytkownika ani spełnienia szczególnych warunków sieciowych — jest możliwy przez sieć bez uwierzytelnienia. Zakres podatności wykracza poza sam system, na którym podatność istnieje (Scope: Changed), co wskazuje na możliwość oddziaływania na szerzej rozumianą infrastrukturę.
Atakujący może uzyskać pełny, zdalny dostęp do macierzy z poziomem uprawnień administracyjnych, co skutkuje całkowitą utratą poufności, integralności i dostępności przechowywanych danych.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Pure Storage pod adresem https://purestorage.com/security. Do czasu wdrożenia poprawki należy rozważyć ograniczenie dostępu sieciowego do interfejsów zarządzania macierzą wyłącznie do zaufanych hostów administracyjnych.
Pure Storage FlashArray Purity (Purity//FA) — konkretne wersje wskazane w referencjach producenta dostępnych pod adresem purestorage.com/security
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HPurestorage Purity\/\/fa
APPPurestorage6.5.06.0.7 – 6.0.96.1.8 – 6.1.255.3.17 – 5.3.216.3.0 – 6.3.146.4.0 – 6.4.106.2.0 – 6.2.17
Powiązane podatności
FlashArray Purity — aktywne konto lokalne umożliwia privilege escalation
Command injection w Pure Storage Purity poprzez konfigurację SNMP
Zdalne wykonanie kodu z eskalacją uprawnień w Pure Storage FlashArray Purity
Pure Storage FlashArray Purity — nieautoryzowane tworzenie konta z uprawnieniami
Pure Storage FlashArray products running Purity//FA 6.2.0 - 6.2.3, 6.1.0 - 6.1.12, 6.0.0 - 6.0.8, 5.3.0 - 5.3....