48 3052-8500

CVE-2024-53298: Falta de autorización en Dell PowerScale expone los sistemas a accesos inapropiados - OSTEC | Segurança digital de resultados

Genérico 1min de Leitura - 16 de julio de 2025

CVE-2024-53298: Falta de autorización en Dell PowerScale expone los sistemas a accesos inapropiados

CVE-2024-53298

This post is also available in: Português Español

CVE-2024-53298 expone una falla grave en las versiones 9.5.0.0 a 9.10.0.1 del sistema operativo Dell PowerScale OneFS, responsable de administrar el almacenamiento en clústeres. La vulnerabilidad ha sido clasificada como crítica, con una puntuación CVSS 9.8, y afecta directamente la función de exportación a través de NFS (Network File System), una tecnología ampliamente utilizada para compartir archivos en entornos empresariales.

Fallo técnico: falta de verificación de autorización

El núcleo de la vulnerabilidad es la falta de verificación de autorización en las exportaciones NFS. Cuando se configura correctamente, un entorno NFS requiere que los accesos se validen de acuerdo con permisos previamente definidos. Sin embargo, en las versiones afectadas de OneFS, esta comprobación se puede omitir por completo, lo que deja espacio para que usuarios maliciosos accedan a los archivos sin el permiso adecuado.

La vulnerabilidad está clasificada como CWE-862 (Missing Authorization), quien describe exactamente este escenario: cuando un sistema realiza acciones protegidas sin verificar si el usuario tiene permiso para hacerlo. Esta falla es especialmente peligrosa en grandes infraestructuras donde múltiples usuarios y servicios comparten datos confidenciales a través de NFS.

Impacto: exposición de datos y comprometimiento de la integridad

El riesgo que se corre va más allá del simple acceso indebido. En un entorno comprometido, un atacante no solo puede leer datos confidenciales, sino también modificarlos o incluso eliminarlos, afectando gravemente la integridad de la operación. Dado que el ataque se puede realizar de forma remota y sin autenticación, cualquier punto final con acceso a la exportación NFS vulnerable se convierte en un vector de ataque potencial.

La explotación de esta falla puede ser silenciosa y persistente, lo que dificulta su detección temprana y facilita el movimiento lateral dentro de la red.

Correcciones y medidas de mitigación

Dell ha lanzado actualizaciones de seguridad que abordan la falla en las versiones afectadas de OneFS. La compañía recomienda actualizar inmediatamente los sistemas a versiones más nuevas, además de revisar las políticas de exportación de NFS y aplicar restricciones de acceso por IP o segmentos de red confiables.

Hasta que sea posible una actualización, una medida provisional es aislar los sistemas vulnerables de las redes externas y limitar drásticamente los puntos de acceso a las exportaciones NFS.

This post is also available in: Português Español

CVE-2025-49219: Una vulnerabilidad en Trend Micro Apex Central permite la ejecución remota de código

Postagem anterior