HPE StoreOnce软件多重漏洞可导致远程代码执行

MS-ISAC 公告编号：2025-054
发布日期：2025年6月4日

概述

在HPE StoreOnce软件中发现多个漏洞，这些漏洞组合利用可能允许远程代码执行，进而导致会话劫持和完全系统入侵。HPE StoreOnce是惠普企业推出的数据保护平台，采用重复数据删除技术来减少备份存储需求并提升备份恢复速度。成功利用这些漏洞可实现远程代码执行、信息泄露、服务器端请求伪造、认证绕过、任意文件删除和目录遍历信息泄露。

威胁情报

目前尚未发现这些漏洞在野被利用的报告。

受影响系统

HPE StoreOnce软件4.3.11之前版本

风险等级

政府机构：

• 大中型政府实体：高风险
• 小型政府实体：中风险

企业：

• 大中型企业实体：高风险
• 小型企业实体：中风险

家庭用户： 低风险

技术摘要

HPE StoreOnce软件中存在多个可导致远程代码执行的漏洞，具体细节如下：

战术：初始访问（TA0001）
技术：利用面向公众的应用程序（T1190）

• 远程代码执行（CVE-2025-37089, CVE-2025-37091, CVE-2025-37092, CVE-2025-37096）
• 服务器端请求伪造（CVE-2025-37090）
• 认证绕过（CVE-2025-37093）
• 目录遍历任意文件删除（CVE-2025-37094）
• 目录遍历信息泄露（CVE-2025-37095）

成功利用这些漏洞可能导致远程代码执行、信息泄露、服务器端请求伪造、认证绕过、任意文件删除和目录遍历信息泄露。

修复建议

建议采取以下措施：

1. 立即应用补丁：在经过适当测试后，立即为受影响系统安装HPE提供的更新（M1051：更新软件）

2. 漏洞管理流程：

   • 维护企业资产的漏洞管理流程（保障措施7.1）
   • 建立基于风险的修复策略，每月或更频繁审查（保障措施7.2）
   • 每月执行自动化应用补丁管理（保障措施7.4）
   • 季度执行内部资产自动化漏洞扫描（保障措施7.5）
   • 每月修复检测到的漏洞（保障措施7.7）

3. 网络基础设施更新：确保网络基础设施保持最新（保障措施12.1）

4. 渗透测试计划：

   • 建立和维护渗透测试计划（保障措施18.1）
   • 定期执行外部渗透测试（保障措施18.2）
   • 修复渗透测试发现的问题（保障措施18.3）

5. 权限管理：

   • 对所有系统和服务应用最小权限原则
   • 以非特权用户身份运行所有软件（M1026：特权账户管理）
   • 管理企业资产和软件的默认账户（保障措施4.7）
   • 维护服务账户清单（保障措施5.5）

6. 漏洞扫描：使用漏洞扫描发现可修复的软件漏洞（M1016：漏洞扫描）

7. 应用渗透测试：对关键应用进行认证渗透测试（保障措施16.13）

8. 网络分段：

   • 通过网络架构隔离关键系统（M1030：网络分段）
   • 建立和维护安全网络架构（保障措施12.2）

9. 利用防护：

   • 检测和阻止可能导致软件利用的条件（M1050：利用防护）
   • 启用反利用功能（保障措施10.5）

参考链接

• CISA：https://www.cisa.gov/news-events/alerts/2025/05/01/cisa-adds-two-known-exploited-vulnerabilities-catalog
• CVE详细信息：
  • CVE-2025-37089 至 CVE-2025-37096
• HPE官方公告：https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbst04847en_us
• Hacker Read：https://hackread.com/watchtowr-exploits-target-sonicwall-sma-100-devices/