Dellは先日、PowerProtect Data Domainアプライアンスに存在する2件の重大な脆弱性を公表しました。これにより、認証を経ていないリモート攻撃者が影響を受けるシステムを完全に制御できるおそれがあります。
これらの脆弱性はCVE-2026-53483およびCVE-2026-53481として追跡されており、いずれもCVSS v3.1で重大度9.8のスコアを受けています。対象となるのは7.7.1.0から8.7.8.7までを含む複数のサポート対象Data Domainソフトウェアバージョンです。
Penetrationtesting services
Dell、PowerProtect Data Domainの重大な欠陥を警告
これらの脆弱性が重大とされる理由は、認証もユーザー操作も複雑な攻撃条件も一切必要としない点にあります。
両脆弱性はいずれもCVSSベクター「AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H」を示しており、攻撃者はネットワーク経由で低い攻撃複雑度のままリモートから悪用できることを意味しています。
攻撃が成功すれば、企業のバックアップ環境の機密性・完全性・可用性が損なわれるおそれがあります。
CVE-2026-53483は、不適切な認証に関する脆弱性に分類されています。Dellの発表によれば、リモートアクセス可能な未認証の攻撃者がこの問題を悪用し、脆弱なPowerProtect Data Domainシステムへの不正アクセスを得るおそれがあるとしています。
システムが完全に乗っ取られる可能性があることから、管理機能やアプライアンスのサービスを信頼できないネットワークに公開している組織は、対応を最優先で進める必要があります。
2つ目の欠陥であるCVE-2026-53481は、パス名が制限ディレクトリに適切に限定されていないことに起因するパストラバーサル脆弱性です。
この種の脆弱性は、攻撃者がファイルパスを操作することで、本来意図された構造の外にあるファイルやディレクトリにアクセスすることを可能にします。Data Domainの場合、Dellはリモートの未認証攻撃者がこの問題を悪用して不正アクセスを得たうえで、最終的にはアプライアンスを完全に制御下に置くおそれがあると警告しています。
影響を受けるバージョンには、標準のPowerProtect Data Domainリリースである7.7.1.0から8.7.8.7に加え、複数の長期サポート(LTS)ブランチが含まれます。
影響を受けるLTS2026バージョンは8.6.1.0から8.6.1.10、LTS2025バージョンは8.3.1.0から8.3.1.30、LTS2024バージョンは7.13.1.0から7.13.1.70の範囲です。管理者は自社が導入しているソフトウェアバージョンを確認し、Dellのセキュリティガイダンスを参照して適切なアップデートを特定する必要があります。
PowerProtect Data Domainアプライアンスは、バックアップデータの保存、重複排除、保護、復旧のために一般的に利用されています。その重要な役割ゆえに、ランサムウェア攻撃者にとって格好の標的となっており、彼らはしばしばバックアップを侵害・破壊することで、被害者が暗号化されたシステムを復旧できないようにすることを狙います。
アプライアンスが完全に侵害されると、攻撃者は機密性の高いバックアップの内容にアクセスしたり、保持設定を改ざんしたり、復旧作業を妨害したり、より大規模な恐喝攻撃を仕掛ける前に復旧用データを削除したりできるようになるおそれがあります。
Dellは、影響を受けるアプライアンスについて速やかにアップグレードを行うよう顧客に推奨しています。パッチが適用できるまでの間、セキュリティチームはData Domainの管理インターフェースをインターネットに直接公開しないようにする必要があります。
加えて、ネットワークセグメンテーションと許可リストの導入、管理操作の監視の徹底、認証・アクセスログにおける異常な活動の確認を行うべきです。バックアップインフラは現代のランサムウェア攻撃において価値の高い標的となっているため、組織はバックアップデータの完全性と復旧可能性についても検証しておく必要があります。
Gain browser-level visibility to expose decrypted phishing pages, speed investigations, and cut credential theft costs -> Power your SOC with ANY.RUN
翻訳元: https://gbhackers.com/dell-warns-of-critical-powerprotect-data-domain-flaws/