Идентификатор: BDU:2022-03474.
Наименование уязвимости: Уязвимость сценария hw_view.php веб-интерфейса единой платформы консолидации для резервного копирования и архивирования FUJITSU ETERNUS CS8000, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии.
Описание уязвимости: Уязвимость сценария hw_view.php веб-интерфейса единой платформы консолидации для резервного копирования и архивирования FUJITSU ETERNUS CS8000 связана с возможностью внедрения команд. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и повысить свои привилегии
Уязвимое ПО: ПО сетевого программно-аппаратного средства Fujitsu Limited FUJITSU ETERNUS CS8000 до 8.1A SP02 | ПО сетевого программно-аппаратного средства Fujitsu Limited FUJITSU ETERNUS CS8000 до 8.0A SP01 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 06.04.2022.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
– использование средств межсетевого экранирования уровня веб-приложений;
– ограничение доступа к веб-интерфейсу FUJITSU ETERNUS CS8000 из сети Интернет;
– применение систем обнаружения и предотвращения вторжений..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости:
Тип ошибки CWE: CWE-20, CWE-78
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://portswigger.net/daily-swig/separate-fujitsu-cloud-storage-vulnerabilities-could-enable-attackers-to-destroy-virtual-backups
https://support.ts.fujitsu.com/ProductSecurity/content/Fujitsu-PSIRT-PSS-IS-2022-050316-Security-Notice-SF.pdf
