CVE 2min de Leitura - 12 de dezembro de 2024

CVE-2024-37143: Vulnerabilidade de resolução de Link imprópria em produtos Dell

CVE-2024-37143

This post is also available in: Português

A CVE-2024-37143 é uma vulnerabilidade de alta criticidade que afeta vários produtos da Dell, incluindo versões específicas do PowerFlex, PowerFlex Manager, Dell InsightIQ e Dell Data Lakehouse. Essa falha é considerada grave devido à sua pontuação CVSS máxima (10.0), que reflete o alto risco de exploração e o impacto potencial severo em sistemas empresariais. A vulnerabilidade está relacionada à resolução inadequada de links simbólicos antes do acesso ao arquivo, permitindo que invasores manipulem essas estruturas para obter acesso indevido a informações sensíveis ou modificar arquivos críticos.

Esse tipo de problema é especialmente preocupante em ambientes corporativos que dependem de soluções de armazenamento e gerenciamento robustas, como as fornecidas pela Dell. A exploração dessa falha pode resultar em comprometimentos sérios, como perda de dados, interrupção de serviços e roubo de informações confidenciais.

A falha está relacionada à resolução inadequada de links antes do acesso ao arquivo, caracterizada pelo CWE-59 (Resolução de Link Imprópria). Isso permite que um atacante manipule links simbólicos ou arquivos temporários para redirecionar o acesso a recursos sensíveis do sistema. Em cenários de ataque, essa vulnerabilidade pode ser usada para obter acesso não autorizado, sobrescrever arquivos críticos ou escalar privilégios.

Com uma gravidade máxima, a CVE-2024-37143 pode resultar em comprometimento total do sistema afetado. Embora não haja relatos confirmados de exploração ativa até o momento, a natureza da falha a torna atrativa para cibercriminosos, especialmente em ambientes que dependem dos produtos Dell listados.

Produtos afetados

Os produtos afetados pela CVE-2024-37143 abrangem diversas soluções da Dell voltadas para gerenciamento e armazenamento corporativo, utilizadas em ambientes críticos de TI. A vulnerabilidade foi identificada em versões específicas de sistemas como o PowerFlex e o Data Lakehouse, essenciais para a operação segura e eficiente de dados em grandes organizações.

Confira os produtos afetados:

  • Dell PowerFlex: Dispositivos com versões anteriores a IC 46.381.00 e IC 46.376.00.
  • Dell PowerFlex Rack: Versões anteriores a RCM 3.8.1.0 (trem RCM 3.8.x) e RCM 3.7.6.0 (trem RCM 3.7.x).
  • Dell PowerFlex Manager: Versões anteriores a 4.6.1.0.
  • Dell InsightIQ: Versões anteriores a 5.1.1.
  • Dell Data Lakehouse: Versões anteriores a 1.2.0.0.

Mitigação e atualizações

A Dell lançou correções para todos os produtos vulneráveis. Recomenda-se que os administradores atualizem imediatamente para as versões mais recentes disponíveis.

Além disso, é fundamental que medidas de segurança adicionais, como o monitoramento de atividades suspeitas e a validação de permissões de acesso, sejam implementadas para reduzir os riscos associados a possíveis ataques.

This post is also available in: Português