Zero-day kwetsbaarheden ontdekt in Dell EMC’s vApp Manager for Unisphere for VMAX

Dell EMC’s vApp Manager for Unisphere for VMAX, een app om EMC’s storage platformen te beheren, blijkt een zestal zero-day kwetsbaarheden te bevatten. De beveiligingsgaten stellen aanvallers in staat de controle over storage apparaten volledig over te nemen of deze zelfs uit te schakelen. De gaten zijn inmiddels door Dell EMC gedicht.

De problemen zijn ontdekt door beveiligingsbedrijf Digital Defense. De kwetsbaarheden stellen aanvallers die toegang weten te verkrijgen tot netwerkopslagapparatuur in staat malafide Adobe Flash Action Message Format (AMF) berichten te sturen naar de web applicatieserver die op het storagesysteem draait. Het probleem zit in de wijze waarop Unisphere for VMAX het AMF protocol gebruikt om berichten te versturen naar de vijf verschillende interfaces binnen de Unisphere Web application server. In sommige gevallen is authentificatie hierbij niet vereist.

Eigen code uitvoeren op systemen

De kwetsbaarheden zijn ernstig en stellen aanvallers in staat met root privileges ongehinderd commando’s te geven aan het systeem. Aanvallers kunnen de controle over het systeem hierdoor volledig overnemen. Zo kunnen zij een nieuw gebruikersaccount aanmaken waarmee zij in het vervolg ongehinderd en eenvoudig kunnen inloggen op het systeem.

De problemen zijn door Digital Defense gemeld bij Dell EMC, die de beveiligingsgaten inmiddels heeft gedicht. Dell EMC heeft hiervoor security advisories beschikbaar gesteld die uitsluitend voor klanten van het bedrijf toegankelijk zijn. De kwetsbaarheden worden hier door Digital Defense uitgebreid beschreven.