HPE corrige falhas graves em StoreOnce
4 de Junho de 2025

A Hewlett Packard Enterprise (HPE) emitiu um boletim de segurança para alertar sobre oito vulnerabilidades que afetam o StoreOnce, sua solução de backup e deduplicação baseada em disco.

Entre os defeitos corrigidos desta vez, está uma vulnerabilidade crítica de bypass de autenticação (score CVSS v3.1: 9.8) rastreada sob o CVE-2025-37093 , três bugs de execução remota de código, dois problemas de traversal de diretório e um problema de falsificação de solicitação do lado do servidor (Server-Side Request Forgery).

As falhas impactam todas as versões do software HPE StoreOnce antes da v4.3.11, que agora é a versão de upgrade recomendada.

Aqui está a lista completa das oito vulnerabilidades que a HPE corrigiu na versão 4.3.11:

CVE-2025-37089 – Execução Remota de Código
CVE-2025-37090 – Server-Side Request Forgery
CVE-2025-37091 – Execução Remota de Código
CVE-2025-37092 – Execução Remota de Código
CVE-2025-37093 – Bypass de Autenticação
CVE-2025-37094 – Traversal de Diretório com Exclusão Arbitrária de Arquivo
CVE-2025-37095 – Traversal de Diretório com Divulgação de Informação
CVE-2025-37096 – Execução Remota de Código

Desta vez, não foram divulgados muitos detalhes sobre as falhas.

No entanto, a Zero Day Initiative (ZDI), que as descobriu, menciona que o CVE-2025-37093 existe dentro da implementação do método machineAccountCheck, resultante da implementação imprópria de um algoritmo de autenticação.

Embora o CVE-2025-37093 seja a única vulnerabilidade classificada como crítica, as outras ainda trazem riscos significativos, mesmo que normalmente sejam classificadas mais baixo na escala de gravidade.

A ZDI explica que o problema de bypass de autenticação é a chave para desbloquear o potencial em todas as outras falhas, então o risco não é isolado.

Os exemplos do CVE-2025-3794 e do CVE-2025-37095 , duas falhas de média gravidade de exclusão de arquivo e divulgação de informações, mostram que a exploração é praticamente mais fácil do que o refletido na pontuação.

"Essa vulnerabilidade permite a atacantes remotos divulgar informações sensíveis em instalações afetadas do Hewlett Packard Enterprise StoreOnce VSA", explica a ZDI.

Embora a autenticação seja necessária para explorar essa vulnerabilidade, o mecanismo de autenticação existente pode ser contornado.

Notavelmente, as falhas foram descobertas e relatadas à HPE em outubro de 2024, tendo passado sete meses completos até que as correções finalmente se tornassem disponíveis para os clientes.

Ainda assim, não há relatos de exploração ativa.

O HPE StoreOnce é normalmente usado para backup e recuperação em grandes empresas, data centers, provedores de serviços em nuvem e, geralmente, organizações que lidam com big data ou ambientes virtualizados de grande escala.

O StoreOnce integra-se com software de backup como HPE Data Protector, Veeam, Commvault e Veritas NetBackup, garantindo a continuididade dos negócios e uma gestão de backup eficaz.

Dito isso, administradores de ambientes potencialmente impactados devem tomar medidas imediatas e aplicar as atualizações de segurança disponíveis para fechar as brechas.

A HPE não listou nenhuma mitigação ou solução alternativa para as oito falhas no boletim, portanto, a atualização é a solução recomendada.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...