Selon watchTowr Labs, une vulnérabilité critique CVE-2025-36604 affecte Dell UnityVSA jusqu’à la version 5.5.0.0.5.259, permettant une injection de commandes avant authentification; Dell a publié un correctif en 5.5.1.

⚠️ Impact et portée: Des attaquants non authentifiés peuvent exécuter des commandes arbitraires sur des appliances de stockage vulnérables, avec un risque d’accès à des données sensibles.

Détails techniques: La faille réside dans la fonction getCASURL du module Perl AccessTool.pm lorsque le paramètre $type=‘login’. La variable $uri, issue directement de $r->uri() (requête HTTP), est concaténée sans sanitisation dans une chaîne ($exec_cmd) puis exécutée via des backticks Perl. Le chemin vulnérable est déclenché par la configuration Apache (PerlModule) qui enregistre AccessHandler::handler pour chaque requête. Une requête non authentifiée vers une ressource valide (sans les cookies attendus) appelle successivement make_return_address(), getCASLoginURL(), puis getCASURL(type=‘login’), menant à l’exécution de la commande injectée. La vulnérabilité a échappé à la détection car elle ne se manifeste que lorsque l’URI pointe vers une ressource nécessitant la résolution du handler. Alors que d’autres entrées étaient correctement échappées (quotes simples), $uri dans le flux « login » ne l’était pas.

Correctifs et outillage 🔧: Dell a publié des patchs en version 5.5.1 après divulgation responsable. watchTowr Labs fournit un Detection Artefact Generator pour aider à identifier les systèmes vulnérables. La faille a été découverte lors de recherches de routine visant à améliorer les capacités de Preemptive Exposure Management.

TTPs clés:

  • Injection de commandes pré-auth via URI non sanitisée et backticks Perl.
  • Chaînage d’exécution via Apache mod_perl AccessHandler sur des requêtes non authentifiées vers des ressources valides.
  • Utilisation de $r->uri() concaténé dans une commande shell sans échappement.

Type d’article: publication de recherche détaillant une vulnérabilité et annonçant la disponibilité d’un correctif ainsi que d’artefacts de détection.

🔗 Source originale : https://labs.watchtowr.com/its-never-simple-until-it-is-dell-unityvsa-pre-auth-command-injection-cve-2025-36604/