Vulnérabilité critique dans Dell PowerProtect Data Domain
.png)
Produits concernés
• Dell PowerProtect Data Domain (séries DD6300 à DD9910) version 7.7.1.0 à 8.7, LTS2026 (8.6.1.0 à 8.6.1.10), LTS2025 (8.3.1.0 à 8.3.1.30), LTS2024 (7.13.1.0 à 7.13.1.70)
• Data Domain Virtual Edition version 7.7.1.0 à 8.7, LTS2026 (8.6.1.0 à 8.6.1.10), LTS2025 (8.3.1.0 à 8.3.1.30), LTS2024 (7.13.1.0 à 7.13.1.70)
• Dell APEX Protection Storage version 7.7.1.0 à 8.7, LTS2026 (8.6.1.0 à 8.6.1.10), LTS2025 (8.3.1.0 à 8.3.1.30), LTS2024 (7.13.1.0 à 7.13.1.70)
• Data Domain Management Center version 7.7.1.0 à 8.7, LTS2026 (8.6.1.0 à 8.6.1.10), LTS2025 (8.3.1.0 à 8.3.1.30), LTS2024 (7.13.1.0 à 7.13.1.70)
Prérequis
• Accès réseau à l'appliance Data Domain
Risques
• Prise de contrôle complète du système
• Destruction ou altération des sauvegardes stockées
• Contournement potentiel des protections Retention Lock (WORM)
• Exfiltration de données sensibles couvrant l'ensemble du périmètre sauvegardé
• Perte de la capacité de restauration en cas d'incident majeur
Résumé
Deux vulnérabilités critiques ont été publiées par Dell le 7 juillet 2026 dans l'advisory DSA-2026-278, affectant les appliances PowerProtect Data Domain (DD OS).
Le niveau de criticité de ces deux vulnérabilités est de 9.8 (score CVSSv3.1).
• CVE-2026-53481 : une vulnérabilité de limitation insuffisante des chemins d'accès (path traversal) permet à un attaquant distant non authentifié d'accéder de manière non autorisée au système.
• CVE-2026-53483 : une vulnérabilité d'authentification défaillante permet, dans les mêmes conditions, d'obtenir un accès non autorisé au système.
Dans les deux cas, Dell qualifie l'impact de prise de contrôle complète du système.
Data Domain est une appliance de sauvegarde et de déduplication, point de convergence de l'ensemble des sauvegardes de l'organisation (bases de données, VMs, fichiers). Dans le déroulé classique d'une attaque ransomware, les groupes ciblent systématiquement l'infrastructure de sauvegarde en fin de kill chain, précisément pour empêcher toute restauration et maximiser la pression au paiement. Une prise de contrôle complète d'une appliance Data Domain via l'une de ces deux CVE donnerait à un attaquant la capacité de supprimer ou chiffrer les sauvegardes elles mêmes, avec un risque de contournement de la protection Retention Lock (WORM) si elle est activée, puisque l'accès obtenu est un accès système complet et non un accès applicatif classique.
À l'heure actuelle, Dell ne fait mention d'aucune exploitation active de ces deux vulnérabilités, et elles ne figurent pas dans le catalogue CISA KEV.
Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour toute appliance concernée, exposée sur internet ou non, du fait de sa criticité en tant que composant d'infrastructure de sauvegarde.
Solutions
Détection de la compromission :
Afin de vérifier si une appliance Data Domain est compromise, vous pouvez :
• Vérifier les journaux d'accès et d'administration de l'appliance à la recherche de connexions ou de commandes exécutées sans authentification correspondante.
• Contrôler l'intégrité des politiques Retention Lock configurées (dates de verrouillage, statuts WORM) pour détecter toute modification suspecte.
• Auditer les logs réseau à la recherche de requêtes anormales ciblant les chemins de fichiers de l'appliance.
Aucun indicateur de compromission public n'est disponible à l'heure de l'émission de ce bulletin.
Remédiation
Mettre à jour DD OS vers la version corrigée correspondant à la branche utilisée :
• Branche 7.7.1.0 à 8.6.0.0 : version 8.7.0.0 ou ultérieure
• LTS2026 8.6.1.0 à 8.6.1.10 : version 8.6.1.20 ou ultérieure
• LTS2025 8.3.1.0 à 8.3.1.30 : version 8.3.1.40 ou ultérieure
• LTS2024 7.13.1.0 à 7.13.1.70 : version 7.13.1.80 ou ultérieure
Mitigation
Aucune mitigation officielle n'est disponible en dehors de la mise à jour. En attendant l'application du correctif, il est recommandé de restreindre strictement l'accès réseau à l'appliance Data Domain au périmètre des serveurs de sauvegarde autorisés, et de vérifier qu'aucune interface d'administration ou de réplication n'est accessible depuis un réseau non maîtrisé.

Restez informés des dernières menaces !
Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

