Se descubrió una vulnerabilidad de permisos de archivo insegura en Dell EMC VPlex Geosynchrony. Se ha encontrado que afecta a versiones anteriores a su versión 6.1, particularmente a sus versiones 5.4, 5.5 y 6.0. Esta vulnerabilidad permite que atacantes autenticados malintencionados lean de forma remota los archivos de configuración de VPN. El exploit también plantea la amenaza de que el atacante pueda ejecutar un ataque man-in-the-middle en el tráfico de VPN, retransmitiendo en secreto y potencialmente alterando la comunicación entre dos puntos finales que se comunican con el supuesto de integridad total.
EMC VPlex de Dell es una solución de almacenamiento de datos de computadora virtual. Fue lanzado por primera vez en 2010 por la corporación EMC. Es aplaudido por su capacidad de establecerse en una capa de virtualización distribuida sin interrupciones a través (entre y a través) de centros de datos y redes de área de almacenamiento Fibre Channel geográficamente incomparables.
A esta vulnerabilidad se le ha asignado la etiqueta de identificación de Dell EMC DSA-2018-156 y la etiqueta de identificación CVE CVE-2018-11078. Se considera que presenta un riesgo de gravedad media y se ha evaluado que tiene una puntuación base CVSS 3.0 de 4.0. Según el análisis preliminar, esta vulnerabilidad solo afecta a Witness. Afecta a las versiones 5.4 (todas las versiones), 5.5 (todas las versiones) y 6.0 (todas las versiones) de Dell EMC VPlex GeooSynchrony.
Como esta vulnerabilidad expone su sistema a exploits de permisos de archivos inseguros en versiones anteriores a la versión 6.1, la solución de mitigación sugerida por Dell en este momento es una mera actualización a la versión 6.2 de Dell VPlex Geosynchrony. Como esta vulnerabilidad no afecta a la versión más reciente, no justifica una versión de actualización completamente nueva, ya que la versión más reciente mitiga esta preocupación por sí sola.
Una nota especial de Dell para quienes necesitan una actualización para mitigar esta vulnerabilidad: se le solicita que se comunique con su representante de campo local para ayudar con la planificación de la actualización de VPlex, que requiere una autorización de control de cambios (CCA).
Etiquetas Dell
