本次共發現了16個不同的漏洞,其中最嚴重的漏洞在通用漏洞評分系統(CVSS)中的評分為 9.8 分。
CVE-2025-22398(CVSS 評分 9.8)允許通過未經身份驗證的遠程命令執行以 root 權限完全接管系統。攻擊者可以構造針對 Unity API 的惡意網絡請求,注入能以完全管理員權限執行的操作系統命令。這一漏洞使各組織面臨著被部署勒索軟件、數據被竊取以及被安裝持久后門程序的風險。
CVE-2025-24383(CVSS 評分 9.1)漏洞使得攻擊者能夠以 root 權限通過未經身份驗證的遠程操作刪除任意文件,從而對文件系統造成同樣危險的破壞。攻擊者可以刪除關鍵的系統二進制文件、配置文件或數據存儲,這有可能會使存儲操作陷入癱瘓,或者為后續攻擊創造條件。
本次發現的漏洞可能影響所有未打補丁的戴爾Unity存儲系統,包括但不限于Dell Unity 5.4及之前版本。由于戴爾Unity廣泛應用于企業數據中心、云計算環境等關鍵領域,因此該漏洞的潛在影響范圍廣泛,風險極高。
面對如此嚴重的安全威脅,戴爾已經發布了相應的安全更新和補丁,以修復該漏洞。作為用戶,您應立即采取以下措施來保護您的系統:
1.立即更新系統:訪問戴爾官方支持頁面,下載并安裝最新的安全更新和補丁。確保您的戴爾Unity存儲系統已經升級到不受該漏洞影響的版本。
2.加強訪問控制:限制對存儲系統的訪問權限,確保只有授權用戶才能訪問和管理系統。同時,啟用多因素認證等安全機制,提高系統的安全性。
3.監控與審計:啟用系統監控和審計功能,及時發現并響應異常活動。
4.備份數據:定期備份重要數據,并確保備份數據的安全性和可恢復性。
