Dell cảnh báo hàng loạt lỗ hổng nghiêm trọng trong PowerScale OneFS 

Dell

Ngày 10 tháng 4 vừa qua, Dell vừa phát hành bản khuyến cáo bảo mật liên quan đến nhiều lỗ hổng trong PowerScale OneFS – hệ điều hành lưu trữ (scale-out NAS) của hãng. Các lỗ hổng này có thể bị khai thác  nhằm xâm phạm hệ thống bị ảnh hưởng. 

Khuyến cáo chi tiết một số lỗ hổng quan trọng, bao gồm: 

  • CVE-2025-27690 (CVSS: 9.8): Lỗ hổng sử dụng mật khẩu mặc định trong các phiên bản từ 9.5.0.0 đến 9.10.1.0. Kẻ tấn công chưa xác thực nhưng có quyền truy cập từ xa có thể khai thác để chiếm quyền điều khiển tài khoản có đặc quyền cao. 
  • CVE-2025-26330 (CVSS: 7.0): Lỗi phân quyền không đúng trong các phiên bản từ 9.4.0.0 đến 9.10.0.1. Kẻ tấn công chưa xác thực nhưng có quyền truy cập cục bộ có thể truy cập hệ thống dưới quyền của một tài khoản đã bị vô hiệu hóa. 
  • CVE-2025-22471 (CVSS: 6.5): Lỗi tràn số nguyên (integer overflow) hoặc vòng lặp (wraparound) trong các phiên bản từ 9.4.0.0 đến 9.10.0.1. Kẻ tấn công chưa xác thực có thể khai thác từ xa để gây ra tình trạng từ chối dịch vụ (DoS). 
  • CVE-2025-26480 (CVSS: 5.3): Lỗi tiêu tốn tài nguyên không kiểm soát trong các phiên bản từ 9.5.0.0 đến 9.10.0.0. Có thể bị khai thác từ xa để khiến hệ thống quá tải, gây gián đoạn hoạt động. 
  • CVE-2025-23378 (CVSS: 3.3): Lỗi lộ thông tin thông qua liệt kê thư mục, ảnh hưởng đến các phiên bản từ 9.4.0.0 đến 9.10.0.0. Một kẻ tấn công có quyền thấp với truy cập cục bộ có thể khai thác để thu thập thông tin nhạy cảm. 
  • CVE-2025-26479 (CVSS: 3.1): Lỗi ghi ngoài vùng nhớ (out-of-bounds write) trong các phiên bản từ 9.4.0.0 đến 9.10.0.0, có thể ảnh hưởng đến tính toàn vẹn dữ liệu trong các quy trình NFS.  

Khuyến cáo của Dell liệt kê cụ thể các phiên bản bị ảnh hưởng cũng như các phiên bản đã được vá. Trong phần lớn trường hợp, nâng cấp lên PowerScale OneFS phiên bản 9.10.1.1 hoặc mới hơn sẽ giúp khắc phục toàn bộ các lỗ hổng. Tuy nhiên, với một số lỗ hổng cụ thể, các bản vá riêng cũng được phát hành cho các phiên bản cũ hơn. Dell cung cấp đường dẫn tải bản cập nhật của PowerScale OneFS để người dùng có thể dễ dàng nâng cấp hệ thống. 

Đối với lỗ hổng nghiêm trọng nhất – CVE-2025-27690, Dell cũng đưa ra một số giải pháp tạm thời trong trường hợp chưa thể nâng cấp hệ thống ngay, bao gồm: 

  • Thêm các tài khoản bị ảnh hưởng vào danh sách “Users who cannot be modified”. 
  • Đặt lại mật khẩu và vô hiệu hóa các tài khoản không bị khóa quyền thay đổi. 
  • Tắt giao diện WebUI và API thông qua dòng lệnh (CLI). 
  • Giới hạn quyền truy cập WebUI và API chỉ dành cho các mạng tin cậy bằng cấu hình tường lửa. 

Tuy nhiên, Dell cũng lưu ý rằng các biện pháp tạm thời không thể loại bỏ hoàn toàn rủi ro, do đó giải pháp ưu tiên vẫn là nâng cấp lên bản vá chính thức hoặc cài đặt bản cập nhật ngay khi có thể.

Theo: Security Online