HPE StoreOnce软件多重漏洞可导致远程代码执行
MS-ISAC 咨询编号:2025-054
发布日期:2025年6月4日
概述
在HPE StoreOnce软件中发现多个漏洞,当这些漏洞被串联利用时,可能允许远程代码执行,进而导致会话劫持和系统完全被控制。HPE StoreOnce是惠普企业的一款数据保护平台,采用重复数据删除技术来减少备份存储需求并提高备份和恢复速度。成功利用这些漏洞可能允许远程代码执行、信息泄露、服务器端请求伪造、认证绕过、任意文件删除和目录遍历信息泄露。
威胁情报
目前尚未发现这些漏洞在野被利用的报告。
受影响系统
HPE StoreOnce软件4.3.11之前版本
风险等级
政府机构:
- 大型和中型政府实体:高
- 小型政府实体:中
企业:
- 大型和中型企业实体:高
- 小型企业实体:中
家庭用户:低
技术详情
在HPE StoreOnce软件中发现多个可能允许远程代码执行的漏洞。漏洞详情如下:
战术:初始访问(TA0001)
技术:利用面向公众的应用程序(T1190):
- 远程代码执行(CVE-2025-37089、CVE-2025-37091、CVE-2025-37092、CVE-2025-37096)
- 服务器端请求伪造(CVE-2025-37090)
- 认证绕过(CVE-2025-37093)
- 目录遍历任意文件删除(CVE-2025-37094)
- 目录遍历信息泄露(CVE-2025-37095)
成功利用这些漏洞可能允许远程代码执行、信息泄露、服务器端请求伪造、认证绕过、任意文件删除和目录遍历信息泄露。
修复建议
建议采取以下措施:
-
立即应用补丁:在适当测试后立即为受影响的系统应用HPE提供的相应更新(M1051:更新软件)
- 保障措施7.1:建立和维护漏洞管理流程
- 保障措施7.2:建立和维护修复流程
- 保障措施7.4:执行自动化应用程序补丁管理
- 保障措施7.5:执行内部企业资产的自动化漏洞扫描
- 保障措施7.7:修复检测到的漏洞
- 保障措施12.1:确保网络基础设施保持最新
-
实施最小权限原则:对所有系统和服务应用最小权限原则。以非特权用户身份运行所有软件(无管理员权限),以减少成功攻击的影响(M1026:特权账户管理)
- 保障措施4.7:管理企业资产和软件上的默认账户
- 保障措施5.5:建立和维护服务账户清单
-
漏洞扫描:使用漏洞扫描来发现可能被利用的软件漏洞并进行修复(M1016:漏洞扫描)
- 保障措施16.13:进行应用程序渗透测试
-
网络分段:架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问可能敏感的系统信息。使用DMZ来容纳任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云(VPC)实例来隔离关键云系统(M1030:网络分段)
- 保障措施12.2:建立和维护安全的网络架构
-
利用防护:使用功能来检测和阻止可能导致或表明软件利用发生的条件(M1050:利用防护)
- 保障措施10.5:启用反利用功能
-
渗透测试:
- 保障措施18.1:建立和维护渗透测试程序
- 保障措施18.2:执行定期外部渗透测试
- 保障措施18.3:修复渗透测试发现的问题
参考资料
- CISA:https://www.cisa.gov/news-events/alerts/2025/05/01/cisa-adds-two-known-exploited-vulnerabilities-catalog
- CVE:
- CVE-2025-37089
- CVE-2025-37090
- CVE-2025-37091
- CVE-2025-37092
- CVE-2025-37093
- CVE-2025-37094
- CVE-2025-37095
- CVE-2025-37096
- HPE:https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbst04847en_us
- Hacker Read:https://hackread.com/watchtowr-exploits-target-sonicwall-sma-100-devices/