“盡快應(yīng)用這些更新,以保護您的系統(tǒng)免受潛在攻擊。”戴爾在最新的安全公告中這樣敦促其PowerProtect Data Domain系列產(chǎn)品的用戶。這家基礎(chǔ)設(shè)施巨頭本次一口氣修復(fù)了多個嚴(yán)重漏洞,其中最值得警惕的兩枚被編號為CVE-2026-53483和CVE-2026-53481,通用漏洞評分系統(tǒng)(CVSS)均給出了9.8分(滿分10分)的危險評級。
這兩枚漏洞的致命之處在于:攻擊者不需要任何登錄憑證,也無需受害者進行點擊或交互,即可從遠程通過網(wǎng)絡(luò)直接拿下目標(biāo)設(shè)備。CVSS向量明確指出,它們的攻擊復(fù)雜度很低,攻擊者甚至不需要預(yù)先獲取任何權(quán)限。這意味著任何暴露在互聯(lián)網(wǎng)上的脆弱系統(tǒng),都等于在“裸奔”,隨時可能被自動化掃描工具發(fā)現(xiàn)并攻破。
![]()
其中,CVE-2026-53483被定義為一個“不當(dāng)身份驗證”漏洞。簡單來說,就是系統(tǒng)在驗證“誰在敲門”這道關(guān)卡上出了紕漏,讓不相干的陌生人也能被當(dāng)成自己人放進來。一旦這道防線被繞過,攻擊者就能以未經(jīng)授權(quán)的身份深入系統(tǒng),戴爾的公告警告,成功利用后可導(dǎo)致“系統(tǒng)完全受損”。而CVE-2026-53481則屬于經(jīng)典的“路徑遍歷”缺陷:系統(tǒng)本該把訪問者限制在指定的文件目錄內(nèi),但漏洞允許攻擊者像使用“../”穿越一樣,摸到原本被隱藏的敏感目錄和資源。雖然手法不同,但后果同樣致命——遠程未授信者得以竊取核心資源,進而完全控制整個平臺。
受影響的產(chǎn)品陣容覆蓋了戴爾數(shù)據(jù)保護業(yè)務(wù)的多個支柱:物理形態(tài)的Data Domain備份一體機、軟件定義的Data Domain Virtual Edition、集成了多項存儲服務(wù)的APEX Protection Storage,以及集中管理一切的Data Domain Management Center。這些組件共同構(gòu)成企業(yè)災(zāi)備的核心基座,也正因此,它們所運行的DD OS操作系統(tǒng)一旦失守,后果不堪設(shè)想。公告列出的漏洞影響范圍從DD OS 7.7.1.0一直延伸到8.7.0.0,同時延及多個仍在維護的長周期支持(LTS)分支。
具體來說,8.6.1.x家族的版本8.6.1.0至8.6.1.10存在風(fēng)險;計劃于2025年到期的LTS2025部署,只要仍在運行8.3.1.0至8.3.1.30之間的版本,就處在威脅之中;同樣,LTS2024環(huán)境若搭載的是7.13.1.0至7.13.1.70的DD OS,也必須立刻采取行動。戴爾為所有受支持的版本軌道都準(zhǔn)備了相應(yīng)的“解藥”:選擇功能發(fā)布軌道的用戶,應(yīng)當(dāng)升級至DD OS 8.7.0.0或8.8.0.0以上;堅守長期支持分支的客戶,則需要將系統(tǒng)至少推送到8.6.1.20、8.3.1.40或7.13.1.80的版本。
除了這兩個焦點漏洞,本次安全公告還捆綁修復(fù)了一系列其他CVE編號的缺陷,涉及DD OS自身的代碼以及所集成的第三方組件。這些更新被統(tǒng)一分發(fā)到了DD OS 8.8、8.7、8.6.1、8.3.1和7.13.1這五條版本線上。一次性打包修補多代系統(tǒng),也側(cè)面反映出戴爾對這次風(fēng)險曝光的重視程度。
數(shù)據(jù)保護系統(tǒng)之所以成為攻擊者眼中的“高價值目標(biāo)”,根源在于它們存儲的東西過于“肥美”:企業(yè)最后一次防線的備份數(shù)據(jù)、關(guān)鍵時刻能挽救業(yè)務(wù)的恢復(fù)點、甚至可以訪問生產(chǎn)環(huán)境的特權(quán)賬號,以及運維日常所依賴的配置和操作信息。一份最新的行業(yè)報告指出,在勒索軟件攻擊中,犯罪團伙往往會優(yōu)先搜索并破壞備份系統(tǒng),先刪光恢復(fù)副本,再堂而皇之地加密生產(chǎn)數(shù)據(jù),讓受害者徹底喪失討價還價的余地。戴爾本次修復(fù)的漏洞,恰恰可能為這種惡毒的手法打開方便之門——完全控制平臺后,攻擊者能做的遠不止竊取一些備份文件,他們可以肆意修改配置讓備份任務(wù)靜默失效,中斷關(guān)鍵的災(zāi)備作業(yè),甚至在刪除所有歷史恢復(fù)點后再從容投遞勒索病毒。
結(jié)合漏洞的低利用門檻和備份系統(tǒng)的戰(zhàn)略價值,這一波更新顯得尤為緊急。戴爾已經(jīng)將修復(fù)版本推送到官方支持渠道,各組織安全團隊?wèi)?yīng)比照自身運行環(huán)境,立即啟動補丁測試和部署流程,將潛在的攻擊面徹底封鎖。在數(shù)字勒索已成產(chǎn)業(yè)的今天,守住備份,就是守住了最后一張安全底牌。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.