Vulnérabilités dans VNX2 OE de DELL

Date de publication :

VNX2 est une plateforme de stockage unifié qui permet, entre autres, d’être configurée pour les applications virtuelles. Des documentations détaillées sont disponibles ici.
 

CVE-2021-36294[Score CVSS v3.1: 9.8]
L’authentification dans le système d’exploitation de la plateforme VNX2 de Dell a été identifiée comme vulnérable. Il est possible de contourner la politique de sécurité en utilisant un cookie malveillant. L’exploitation de cette vulnérabilité par un attaquant distant et non authentifié permet de se connecter en tant que n’importe quel utilisateur.

CVE-2021-36289[Score CVSS v3.1: 7.8]
La confidentialité des données sensibles a été signalée comme insuffisante dans la plateforme VNX2 de Dell. L’exploitation de cette vulnérabilité par un attaquant local et authentifié permet la lecture et l’utilisation de données sensibles.

CVE-2021-36295CVE-2021-36296[Score CVSS v3.1: 7.2]
Deux vulnérabilités ont été découvertes dans le système d’exploitation de la plateforme VNX2 de Dell. L’exploitation de ces vulnérabilités par un attaquant distant et authentifié permet l’exécution de code arbitraire sur le système.

 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Criticité

  • Score CVSS v3.1: 9.8 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentés

Un correctif existe

  • Oui, pour l’ensemble des CVE présentés

Une mesure de contournement existe

  • Oui, pour l’ensemble des CVE présentés

Les vulnérabilités exploitées sont du type

Pour la CVE-2021-36294

  • CWE-331 : Insufficient Entropy

Pour la CVE-2021-36289

  • CWE-532 : Insertion of Sensitive Information into Log File

Pour la CVE-2021-36295CVE-2021-36296

  • CWE-78 : Improper Neutralization of Special Elements used in an OS Command

 

Détails sur l’exploitation

Pour la CVE-2021-36294

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Aucun
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Pour la CVE-2021-36289

  • Vecteur d’attaque : Local
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Pour la CVE-2021-36295CVE-2021-36296

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur à privilège
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Composants vulnérables.

  • La version 8.1.21.266 de VNX2 OE For File, ainsi que les versions antérieures.

Plateforme de stockage unifié VNX :

  • VNX VG10
  • VNX VG50
  • VNX 2 Series
  • VNX 5200
  • VNX 5400
  • VNX 5600
  • VNX 5800
  • VNX 7600
  • VNX 8000

Solutions ou recommandations

  • Des informations supplémentaires sont disponibles ici.
  • Une solution de contournement (KB Article 191153) est disponible ici.
  • Une autre solution de contournement (KB Article 191154) est disponible ici.

Liens