cybersecurity

StoneFly Tároló Koncentrátor

Forrás: cisa.gov 7 perc olvasás

Megosztás

StoneFly Tároló Koncentrátor

Összefoglalót olvas. A teljes tartalom itt érhető el: cisa.gov.

Tekintse meg a CSAF összefoglalót. Ezen sebezhetőségek sikeres kihasználása lehetővé teheti a támadók számára, hogy széleskörű jogosulatlan hozzáférést szerezzenek, tetszőleges parancsokat hajtsanak végre root jogosultságokkal, érzékeny adatokat lopjanak el, és jogos felhasználók nevében cselekedjenek összekapcsolt rendszerekben. Az alábbi StoneFly Storage Concentrator verziók érintettek: Storage Concentrator <8.0.4.22 (CVE-2026-56415, CVE-2026-55721, CVE-2026-50040) Storage Concentrator Virtual Machine <8.0.4.22 (CVE-2026-56415, CVE-2026-55721, CVE-2026-50040) Storage Concentrator <8.0.4.26 (CVE-2026-50110) Storage Concentrator Virtual Machine <8.0.4.26 (CVE-2026-50110) Storage Concentrator <8.0.4.29 (CVE-2026-56413) Storage Concentrator Virtual Machine <8.0.4.29 (CVE-2026-56413) CVSS Szállító Eszköz Sebezhetőségek v3 10 StoneFly StoneFly Storage Concentrator Hardkódolt hitelesítő adatok használata, Speciális elemek helytelen semlegesítése használt OS parancsban ('OS parancs injekció'), Speciális elemek helytelen semlegesítése használt SQL parancsban ('SQL injekció'), Bevitel helytelen semlegesítése weboldal generálás során ('Keresztoldali szkriptezés'). Háttér Kritikus Infrastruktúra Sektorok: Védelem Ipari Bázis, Energia, Pénzügyi Szolgáltatások, Egészségügy és Nyilvános Egészség, Információs Technológia. Országok/területek: Világszerte. A cég központjának helye: Egyesült Államok. Sebezhetőségek Bővítés Mind + CVE-2026-50110 Storage Concentrator (SC & SCVM) hardkódolt hitelesítő adatokat tartalmaz számos belső szolgáltatáshoz, amelyek egy konfigurációs fájlba vannak beágyazva. Bár a hitelesítő adatok kódolt formátumban tárolódnak, a kódolás visszafejthető normál szöveggé. A felfedett hitelesítő adatok széles spektrumú belső szolgáltatásokra vonatkoznak, beleértve az adatbázis-fiókokat, a licencelést, a replikációs szolgáltatásokat és a harmadik fél integrációit, ami azt jelenti, hogy a sebezhetőség sikeres kihasználása jogosulatlan hozzáférést adhat a támadónak számos összekapcsolt rendszerhez. Tekintse meg a CVE részleteit. Érintett termékek StoneFly Storage Concentrator Szállító: StoneFly Termék verzió: StoneFly Storage Concentrator: <8.0.4.26, StoneFly Storage Concentrator Virtual Machine: <8.0.4.26 Termék állapota: ismert_érintett Helyreállítások Szállítói javítás A StoneFly javasolja, hogy a felhasználók frissítsenek a Storage Concentrator 8.0.4.29 vagy újabb verziójára, hogy orvosolják ezeket a sebezhetőségeket. Csökkentés Kiegészítő kérdések vagy támogatás érdekében a felhasználók a StoneFly segítségét kérhetik a https://stonefly.com/contact-us/ oldalon. https://stonefly.com/contact-us/ Releváns CWE: CWE-798 Hardkódolt hitelesítő adatok használata. Metrikák CVSS Verzió Alap pontszám Alap súlyosság Vektor karakterlánc 3.1 9.2 KRITIKUS CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L 4.0 9.3 KRITIKUS CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L CVE-2026-56413 A Storage Concentrator (SC & SCVM) parancs injekciós sebezhetőséget tartalmaz az ms_service.pl szolgáltatásban, amely alapértelmezés szerint a 9000-es TCP porton figyel, és egyedi hálózati csomagokat fogad el eszköz műveletek végrehajtására. Egy hitelesítetlen távoli támadó egy speciálisan elkészített csomagot küldhet, amely rosszindulatú hasábot tartalmaz, és amelyet megfelelő tisztítás nélkül dolgoznak fel, tetszőleges parancs végrehajtásához vezetve root szintű jogosultságokkal. Tekintse meg a CVE részleteit. Érintett termékek StoneFly Storage Concentrator Szállító: StoneFly Termék verzió: StoneFly Storage Concentrator: <8.0.4.29, StoneFly Storage Concentrator Virtual Machine: <8.0.4.29 Termék állapota: ismert_érintett Helyreállítások Szállítói javítás A StoneFly javasolja, hogy a felhasználók frissítsenek a Storage Concentrator 8.0.4.29 vagy újabb verziójára, hogy orvosolják ezeket a sebezhetőségeket. Csökkentés Kiegészítő kérdések vagy támogatás érdekében a felhasználók a StoneFly segítségét kérhetik a https://stonefly.com/contact-us/ oldalon. https://stonefly.com/contact-us/ Releváns CWE: CWE-78 Speciális elemek helytelen semlegesítése használt OS parancsban ('OS parancs injekció'). Metrikák CVSS Verzió Alap pontszám Alap súlyosság Vektor karakterlánc 3.1 10 KRITIKUS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 4.0 10 KRITIKUS CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:L CVE-2026-56415 A Storage Concentrator (SC & SCVM) parancs injekciós sebezhetőséget tartalmaz a debug.pl szkriptben, amely elérhető hitelesítés nélkül. Egy távoli támadó egy speciálisan elkészített HTTP-kérelmet küldhet, amely rosszindulatú terhelést tartalmaz, és amelyet megfelelő bemeneti tisztítás nélkül dolgoznak fel, tetszőleges parancs végrehajtásához vezetve root szintű jogosultságokkal a mögöttes rendszeren. Tekintse meg a CVE részleteit. Érintett termékek StoneFly Storage Concentrator Szállító: StoneFly Termék verzió: StoneFly Storage Concentrator: <8.0.4.22, StoneFly Storage Concentrator Virtual Machine: <8.0.4.22 Termék állapota: ismert_érintett Helyreállítások Szállítói javítás A StoneFly javasolja, hogy a felhasználók frissítsenek a Storage Concentrator 8.0.4.29 vagy újabb verziójára, hogy orvosolják ezeket a sebezhetőségeket. Csökkentés Kiegészítő kérdések vagy támogatás érdekében a felhasználók a StoneFly segítségét kérhetik a https://stonefly.com/contact-us/ oldalon. https://stonefly.com/contact-us/ Releváns CWE: CWE-78 Speciális elemek helytelen semlegesítése használt OS parancsban ('OS parancs injekció'). Metrikák CVSS Verzió Alap pontszám Alap súlyosság Vektor karakterlánc 3.1 10 KRITIKUS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 4.0 10 KRITIKUS CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:L CVE-2026-55721 A Storage Concentrator (SC & SCVM) SQL injekcióval támadható a login.pl és debug.pl szkriptek által feldolgozott sütiértékek révén. A sütiérték közvetlenül az adatbázis-lekérdezésekbe kerül beépítésre megfelelő tisztítás nélkül, ami lehetővé teszi egy hitelesítetlen távoli támadó számára, hogy manipulálja ezeket a lekérdezéseket, és érzékeny információkat nyerjen ki az alatta lévő adatbázisból, beleértve a munkamenet tokeneket, a jelszó hash-okat és az eltárolt titkos kulcsokat. Tekintse meg a CVE részleteit. Érintett termékek StoneFly Storage Concentrator Szállító: StoneFly Termék verzió: StoneFly Storage Concentrator: <8.0.4.22, StoneFly Storage Concentrator Virtual Machine: <8.0.4.22 Termék állapota: ismert_érintett Helyreállítások Szállítói javítás A StoneFly javasolja, hogy a felhasználók frissítsenek a Storage Concentrator 8.0.4.29 vagy újabb verziójára, hogy orvosolják ezeket a sebezhetőségeket. Csökkentés Kiegészítő kérdések vagy támogatás érdekében a felhasználók a StoneFly segítségét kérhetik a https://stonefly.com/contact-us/ oldalon. https://stonefly.com/contact-us/ Releváns CWE: CWE-89 Speciális elemek helytelen semlegesítése használt SQL parancsban ('SQL injekció'). Metrikák CVSS Verzió Alap pontszám Alap súlyosság Vektor karakterlánc 3.1 9.3 KRITIKUS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N 4.0 9.2 KRITIKUS CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N CVE-2026-50040 A Storage Concentrator (SC & SCVM) reflektált keresztoldali szkriptezésnek (XSS) van kitéve azzal, hogy a 404-es hibafeltételekben visszhangzott tisztítatlan tartalom található. Egy támadó elkészíthet egy rosszindulatú URL-t, amelyet, ha egy hitelesített felhasználó meglátogat, tetszőleges szkript tartalom végrehajtását okozza az áldozat böngésző szakaszában, az alkalmazás kontextusában. Ez felhasználható munkamenet cookie-k ellopására, felhasználók átirányítására vagy jogosulatlan cselekvések végrehajtására áldozat nevében. Tekintse meg a CVE részleteit. Érintett termékek StoneFly Storage Concentrator Szállító: StoneFly Termék verzió: StoneFly Storage Concentrator: <8.0.4.22, StoneFly Storage Concentrator Virtual Machine: <8.0.4.22 Termék állapota: ismert_érintett Helyreállítások Szállítói javítás A StoneFly javasolja, hogy a felhasználók frissítsenek a Storage Concentrator 8.0.4.29 vagy újabb verziójára, hogy orvosolják ezeket a sebezhetőségeket. Csökkentés Kiegészítő kérdések vagy támogatás érdekében a felhasználók a StoneFly segítségét kérhetik a https://stonefly.com/contact-us/ oldalon. https://stonefly.com/contact-us/ Releváns CWE: CWE-79 Bevitel helytelen semlegesítése weboldal generálás során ('Keresztoldali szkriptezés'). Metrikák CVSS Verzió Alap pontszám Alap súlyosság Vektor karakterlánc 3.1 6.1 KÖZEPES CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 4.0 5.1 KÖZEPES CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:L/SI:N/SA:N Elismerések David Yesland a Rhino Security Labs-tól jelentette be ezeket a sebezhetőségeket a CISA-nak. Jogi nyilatkozat és felhasználási feltételek. Ez a termék az értesítés (https://www.cisa.gov/notification) és a Magánéleti és Használati szabályzat (https://www.cisa.gov/privacy-policy) alá tartozik. Javasolt gyakorlatok. A CISA azt javasolja, hogy a felhasználók védekezési intézkedéseket tegyenek a sebezhetőségek kihasználásának kockázatának minimalizálása érdekében. Minimalizálják a hálózati expozíciót minden vezérlőrendszer-eszköz és/vagy rendszer esetében, biztosítva, hogy ne legyenek elérhetőek az internetről. Helyezzenek vezérlőrendszerek hálózatait és távoli eszközeit tűzfalak mögé, és elszigetelve azokat az üzleti hálózatoktól. Amikor távoli hozzáférés szükséges, használjanak biztosabb módszereket, például virtuális magánhálózatokat (VPN), figyelembe véve, hogy a VPN-ek sebezhetőségekkel rendelkezhetnek, és frissíteni kell őket a legfrissebb elérhető verzióra. Ugyanakkor vegyék figyelembe, hogy a VPN csak annyira biztonságos, mint a csatlakoztatott eszközök. A CISA emlékezteti a szervezeteket, hogy megfelelő hatásvizsgálatot és kockázatelemzést végezzenek a védekező intézkedések bevezetése előtt. A CISA emellett a vezérlőrendszerek biztonsági ajánlott gyakorlataihoz egy szekciót is biztosít az ICS weboldalon a cisa.gov/ics címen. Számos CISA termék, amelyek a kibervédelmi legjobb gyakorlatokat részletezik, olvasásra és letöltésre rendelkezésre állnak, beleértve az Ipari Vezérlőrendszerek Kibervédelmének Javítását A Mélységes Védelem Stratégiáival. A CISA arra ösztönzi a szervezeteket, hogy valósítsák meg a javasolt kiberbiztonsági stratégiákat az ICS eszközök proaktív védelme érdekében. További csökkentési útmutatók és ajánlott gyakorlatok nyilvánosan elérhetők az ICS weboldalon a cisa.gov/ics címen a technikai információs papírban, ICS-TIP-12-146-01B--Célzott Kibertámadás Észlelés és Csökkentő Stratégiák. A szervezeteknek, akik gyanús rosszindulatú tevékenységet észlelnek, követniük kell a megszokott belső eljárásokat, és be kell jelenteniük az eredményeket a CISA-nak a nyomon követés és más eseményekkel való összekapcsolás érdekében. A CISA azt is ajánlja, hogy a felhasználók tegyenek meg a következő intézkedéseket a társadalmi manipulációs támadások védelme érdekében: Ne kattintson webes linkekre, vagy ne nyisson meg mellékleteket a kéretlen e-mail üzenetekben. További információkért a kéretlen levelek elkerüléséről tekintse meg az E-mail csalások észlelése és elkerülése című anyagot. További információkért a társadalmi manipulációs és phishing támadások elkerüléséről nézze meg az Eltérítés és phishing támadások elkerülése című anyagot. Jelenleg nem jelentettek köztudott, hogy kifejezetten ezen sebezhetőségek célzásával valóságos kihasználás történt volna a CISA-nál. Módosítási történelem. Kezdeti kiadás dátuma: 2026-06-30. Dátum, módosítási összefoglaló: 2026-06-30 1 Kezdeti közzététel. Jogi nyilatkozat és felhasználási feltételek.

Kapcsolódó cikkek