PowerProtect Data Domain製品ラインに深刻な脆弱性群が発見されました。CVSSスコア最大値の9.8を記録する2件の欠陥を含み、完全に未認証の攻撃者が対象システムを丸ごと制御下に置けてしまう内容です。
DSA-2026-218として追跡されているこのアドバイザリおよび関連する速報は、独自コードに存在する20件を超える脆弱性に加え、広く利用されているバックアップ・ストレージアプライアンスに影響するサードパーティコンポーネントの問題も多数扱っています。
今回の開示で特に危険度が際立つのは2件の脆弱性です。CVE-2026-53483は不適切な認証に起因する脆弱性で、リモートかつ未認証の攻撃者がログイン制御を完全に回避し、不正アクセスを獲得できてしまいます。
CVE-2026-53481はパストラバーサル脆弱性で、同様に資格情報を一切必要とせず、攻撃者が制限されたディレクトリを脱出して機密性の高いシステムファイルに到達できます。
両者ともCVSSスコアは9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)で、権限もユーザー操作も不要のまま悪用が可能で、機密性・完全性・可用性のすべてが完全に侵害される結果を招きます。
Data Domainアプライアンスは通常、エンタープライズのバックアップ・災害復旧インフラの中核を担っているため、悪用に成功すれば単一システムの侵害にとどまらず、バックアップデータの改ざんや破壊にまで及ぶ恐れがあります。これは、暗号化ペイロードを展開する前に復旧手段を断つべく、ランサムウェア攻撃者が積極的に狙うシナリオです。
この2つの主要な欠陥のほかにも、アドバイザリでは注目すべき脆弱性がいくつか挙げられています。
独自コードの一覧には、深刻度が比較的低いパストラバーサル、リンクフォロー、情報漏えいのバグも多数含まれており、これらはローカルまたは高権限を要する攻撃経路に影響します。
Dellのアドバイザリでは、DD OSに組み込まれた多数のサードパーティコンポーネント向けのパッチもまとめて提供されています。Apache Tomcatをはじめ、Apache HTTP Server、Log4j、OpenSSL、Golang、GNU Binutils、PostgreSQL、Python、curl、glibcが対象で、2022年から2026年に新たに公表された問題まで、合わせて数十件のCVEに対応しています。
これは、単一のアプライアンスがオープンソースの依存関係スタック全体からリスクを引き継ぐという、サプライチェーンにありがちな課題を如実に表しています。
今回の脆弱性は、DD OSバージョン7.7.1.0から8.7まで、およびLTS2024(7.13.1.x)、LTS2025(8.3.1.x)、LTS2026(8.6.1.x)の各リリースブランチに影響します。
Dellは各系統向けに修正バージョンを公開済みで、DD OS 8.7/8.8、8.3.1.40、8.6.1.20、7.13.1.80がDell Data Domainのダウンロードポータルから入手できます。
なお、DD3300とDDVEの各プラットフォームについては、8.3.1.40および8.6.1.20のビルドがまだ提供されていません。Dellのエンジニアリングチームがこれらプラットフォーム向けの修正を現在も最終調整中で、暫定的なガイダンスがKB 000486874で公開されています。
Data Domainインフラを運用しているセキュリティチームは、未認証かつリモートから悪用可能という2件の重大な欠陥の性質を踏まえ、これを緊急のパッチ適用対象として扱う必要があります。組織としては以下の対応が求められます。
Give your SOC the intelligence it needs to act with confidence.
Explore ANY.RUN Threat Intelligence Feeds to reduce noise and improve operational efficiency.
翻訳元: https://cyberpress.org/dell-powerprotect-data-domain-flaws/