Zero login — full access: StoreOnce забыла закрыть дверь в самое ценное

Hewlett Packard Enterprise выпустила срочное уведомление безопасности, касающееся восьми уязвимостей в программной платформе StoreOnce, предназначенной для резервного копирования и дедупликации данных. Все уязвимости устранены в новой версии ПО — StoreOnce 4.3.11, которую теперь рекомендуется установить всем пользователям.

Наиболее опасной признана уязвимость CVE-2025-37093 , получившая критическую оценку 9.8 по шкале CVSS v3.1. Она позволяет злоумышленнику обойти механизм аутентификации за счёт ошибки в реализации метода machineAccountCheck. Как поясняет команда ZDI, выявившая баг, суть проблемы кроется в неправильной логике проверки подлинности — она может быть полностью обойдена, открывая путь ко всем остальным уязвимостям.

В список всех устранённых в версии 4.3.11 уязвимостей вошли:

• CVE-2025-37089 — удалённое выполнение кода;
• CVE-2025-37090 — атака через подделку серверного запроса (SSRF);
• CVE-2025-37091 — удалённое выполнение кода;
• CVE-2025-37092 — удалённое выполнение кода;
• CVE-2025-37093 — обход аутентификации (критическая);
• CVE-2025-37094 — удаление произвольных файлов через directory traversal;
• CVE-2025-37095 — раскрытие информации через directory traversal;
• CVE-2025-37096 — удалённое выполнение кода.

Несмотря на то, что CVE-2025-37093 — единственная, официально отнесённая к категории критических, специалисты подчёркивают, что остальные уязвимости нельзя недооценивать. Их совокупная опасность значительно возрастает в случае успешного обхода аутентификации. Это делает даже уязвимости со средней оценкой, такие как CVE-2025-37094 и CVE-2025-37095, крайне опасными — удаление файлов и утечка данных возможны без особых усилий.

По словам Zero Day Initiative, StoreOnce оставалась подверженной этим уязвимостям более полугода. Специалисты сообщили о проблемах ещё в октябре 2024 года, однако на выпуск исправлений потребовалось около семи месяцев. Несмотря на это, пока нет подтверждений того, что уязвимости активно эксплуатировались в реальных атаках.

StoreOnce применяется в крупных IT-инфраструктурах, дата-центрах и организациях с большим объёмом данных — от облачных провайдеров до корпоративных пользователей. В том числе и в России. Продукт интегрируется с такими решениями для резервного копирования, как HPE Data Protector, Veeam, Commvault и Veritas NetBackup, и служит одним из ключевых компонентов в стратегиях обеспечения непрерывности бизнеса.

HPE не предложила никаких обходных решений или временных мер по защите от обнаруженных проблем. Единственным способом закрыть уязвимости остаётся переход на актуальную версию StoreOnce 4.3.11. Для системных администраторов, обслуживающих затронутые среды, это обновление становится первоочередной задачей.