概要
Dell Technologiesは、Dell Storage Managerに影響を与える3つの重大な脆弱性を公表しました。これらの脆弱性は、認証されていないリモート攻撃者がストレージシステムを完全に侵害する可能性を許します。Dell Storage Managerのバージョン2020 R1.21以前は、認証メカニズムを完全にバイパスする攻撃に対して脆弱であり、攻撃者は有効な資格情報なしにシステムへのフルアクセス権を取得できます。2025年10月24日に開示されたこれらの脆弱性は、Dell Storage Centerインフラストラクチャに依存する組織にとって差し迫った脅威となります。
主要な認証バイパス脆弱性
最も深刻な脆弱性であるCVE-2025-43995は、CVSS基本スコアが9.8という極めて高い評価を受けています。これは、悪用するための前提条件が不要な、ネットワーク経由で悪用可能な脆弱性です。この不適切な認証の脆弱性は、Dell Storage Managerバージョン20.1.21に存在し、認証されていない攻撃者がDataCollectorEar.earコンポーネントを介して保護メカニズムをバイパスすることを可能にします。具体的には、特別に細工されたSessionKeyおよびUserIdパラメータを使用してアクセスできるApiProxy.warによって公開されているAPIが悪用されます。Dellのセキュリティアドバイザリによると、これらの資格情報は管理目的でcompellentservicesapi内に作成された特別なサービスアカウントに対応しています。この脆弱性を悪用する攻撃者は、ストレージ管理機能への無制限のアクセスを獲得し、機密データの漏洩、設定の変更、または重要なストレージ操作の妨害を引き起こす可能性があります。
2番目の重大な脆弱性であるCVE-2025-43994も、CVSSスコアが8.6と高く、即座の注意が必要です。この認証欠如の脆弱性は、Dell Storage Managerバージョン20.1.21に影響を与え、認証を必要とするはずの重要な機能に、認証されていないリモート攻撃者がアクセスすることを許します。この脆弱性は情報漏洩につながり、攻撃者は有効な資格情報を提供することなく、ストレージ構成、ユーザーアカウント、およびシステムトポロジに関する機密データを取得できます。これら2つの認証関連の脆弱性の組み合わせは、攻撃者がシステムコンポーネントを発見し、悪用できるという特に危険なシナリオを生み出します。
XML外部エンティティ参照の脆弱性
これらの認証バイパスを補完するものとして、CVE-2025-46425はCVSSスコア6.5のXML外部エンティティ(XXE)脆弱性をもたらします。この脆弱性はDell Storage Managerバージョン20.1.20に影響を与え、低レベルの特権を必要としますが、多段階攻撃で悪用される可能性があります。XML外部エンティティ参照の不適切な制限により、攻撃者は不正アクセス攻撃を実行し、ストレージシステムから機密ファイルを読み取ったり、インフラストラクチャ内で横方向の移動を実行したりする可能性があります。この脆弱性はある程度の認証を必要としますが、同じソフトウェア内の認証脆弱性を攻撃者がバイパスすると、悪用は容易になります。
推奨される対策
Dell Technologiesは、これらの脆弱性を修正するために、すべての顧客に対し、Dell Storage Managerバージョン2020 R1.22以降にアップグレードすることを強く推奨しています。この修正は3つのCVEすべてに対処しており、これらの脆弱性の重大な性質を考慮すると、直ちに優先されるべきです。Dell Storage Managerを実行している組織は、影響を受ける製品リストに対して現在のバージョンを評価し、遅滞なくアップデートを適用する必要があります。これらの脆弱性は、ユーザーの操作なしにネットワークからリモートで悪用できるため、攻撃対象領域は特に懸念され、エンタープライズストレージインフラストラクチャを標的とする脅威アクターにとって非常に魅力的です。
帰属とタイムライン
Dellは、CVE-2025-43995およびCVE-2025-43994の特定についてTenableのセキュリティ研究者に、CVE-2025-46425の発見について独立研究者のAhmed Y. Elmogyに謝意を表しています。これらの脆弱性は、最初の開示と同じ日に改訂され、Dellは修正ガイダンスをバージョン2020 R1.22以降に更新しました。セキュリティチームは、攻撃者が悪用ツールを開発する前に、これらの重要な認証バイパスのリスクを排除するために、Dell Storage Managerの展開を直ちに確認し、パッチ適用活動を計画する必要があります。