Dell vừa phát hành bản cập nhật bảo mật quan trọng để khắc phục nhiều lỗ hổng nghiêm trọng ảnh hưởng đến các phần mềm doanh nghiệp của hãng như PowerFlex, InsightIQ, và Data Lakehouse. 

Các lỗ hổng này, được theo dõi với mã định danh CVE-2024-37143 và CVE-2024-37144, có thể gây ra nguy cơ nghiêm trọng như thực thi mã từ xa và rò rỉ thông tin nhạy cảm, với mức độ đánh giá rủi ro rất cao (CVSS 10.0 và 8.2).

• CVE-2024-37143: Lỗ hổng này xảy ra do hệ thống xử lý liên kết không đúng cách trước khi truy cập tệp, cho phép kẻ tấn công từ xa (không cần xác thực) thực thi mã độc trên hệ thống. Kẻ tấn công có thể tận dụng lỗ hổng này để chiếm quyền điều khiển hệ thống bị ảnh hưởng.
• CVE-2024-37144: Lỗ hổng này liên quan đến việc lưu trữ không an toàn thông tin nhạy cảm, tạo cơ hội cho kẻ tấn công có quyền truy cập cao (local access) tiết lộ các dữ liệu quan trọng. Điều này có thể dẫn đến việc truy cập trái phép vào các phần khác của hệ thống.

Những sản phẩm bị ảnh hưởng bao gồm: 

• Dell PowerFlex Appliance: Các phiên bản trước IC 46.381.00 và IC 46.376.00.
• Dell PowerFlex Rack: Các phiên bản trước RCM 3.8.1.0 và 3.7.6.0.
• Dell PowerFlex Custom Node: Các phiên bản PowerFlex Manager trước 4.6.1.0.
• Dell InsightIQ: Các phiên bản trước 5.1.1.
• Dell Data Lakehouse: Các phiên bản trước 1.2.0.0.

Dell đã phát hành các bản vá lỗi cho tất cả các sản phẩm bị ảnh hưởng. Công ty khuyến cáo người dùng cập nhật ngay lập tức lên các phiên bản mới nhất để bảo vệ hệ thống khỏi nguy cơ bị tấn công. Do mức độ nghiêm trọng của các lỗ hổng này, Dell nhấn mạnh rằng các tổ chức nên ưu tiên cập nhật để tránh bị khai thác và bảo vệ an toàn hệ thống.

Nguồn: Security online