此篇文章詳細介紹了Dell於5月底發布的資安公告,指出其儲存系統PowerScale OneFS存在五項資安漏洞,這些漏洞如果被攻擊者成功利用,將可能使其系統遭到入侵。這些漏洞涵蓋了從檔案系統存取權限到第三方元件的多個層面,而Dell隨後針對這些問題發布了9.10.1.2、9.7.1.8、9.5.1.3版的PowerScale OneFS更新,以修補相關漏洞。
PowerScale OneFS是Dell EMC針對其PowerScale儲存平台設計的作業系統,專為支援大規模網路儲存系統(NAS)的叢集架構而打造。該作業系統的特點包括:使用單一檔案系統與命名空間,並在軟體層面整合檔案系統、磁碟區管理、資料保護機制等功能。此設計不僅提供PB級的橫向擴充能力,還能根據資料使用頻率自動調整儲存位置,以提高系統效能。
作者強調,此次公告中最為關注的漏洞是CVE-2024-53298,它是網路檔案系統(NFS)匯出功能中的授權問題。未經授權的攻擊者能夠透過遠端存取PowerScale OneFS來利用這個漏洞,並進行未經授權的檔案系統存取,讓攻擊者能夠隨意讀取、竄改或刪除任何檔案。根據CVSS風險評分,這個漏洞的風險值高達9.8,屬於極為嚴重的問題。若攻擊者成功利用此漏洞,將能夠完全控制PowerScale OneFS。
為了減少風險,Dell提供了更新版本的PowerScale OneFS,並建議管理員儘速套用。此外,若管理員無法立即安裝更新,Dell也提供了緩解措施,讓用戶透過特定命令和NFS匯出功能重新載入每個區域的組態。
除了這個重大漏洞外,文章還提到其他幾個漏洞。CVE-2025-32753是一個中度風險的SQL注入漏洞,這可能會對系統造成一定的威脅。而其餘漏洞則是與該作業系統使用的第三方元件有關,其中包括影響FreeBSD的CVE-2024-53580,以及存在於SupportAssist模組中的CVE-2024-39689和CVE-2024-51538。
整體而言,本文提醒企業使用Dell PowerScale OneFS的用戶應儘速進行更新,或採取相關的緩解措施,避免在日益嚴峻的資安威脅中成為攻擊的目標。
