HPE heeft een securitybulletin uitgegeven voor acht kwetsbaarheden in StoreOnce, bedoeld voor drive-baaed backup en deduplicatie. Onder de gepatchte problemen zit een kritieke authenticatie-kwetsbaarheid met een CVSS-score van 9.8.
We schrijven regelmatig over kwetsbaarheden met dergelijke scores, waarbij we eerder hebben aangegeven dat dit lang niet alles zegt. Toch is het octet aan kwetsbaarheden onheilspellend: acht gecombineerde softwarefouten geven aanvallers beweegruimte.
De problemen hebben een impact op alle versies van HPE StoreOnce Software voorafgaand aan v4.3.11, die nu de aanbevolen upgrade-versie is. Zero Day Initiative (ZDI) ontdekte de kwetsbaarheden en rapporteerde ze reeds in oktober 2024 aan HPE.
Authenticatie-bypass als sleutel
Van de acht gepatchte kwetsbaarheden is CVE-2025-37093 de meest riskante. Deze authenticatie-bypass heeft een CVSS v3.1-score van 9.8. Ontdekker Zero Day Initiative meldt dat het probleem zit in de implementatie van de machineAccountCheck-methode door een gebrekkige uitvoering van een authenticatie-algoritme.
Hoewel enkel CVE-2025-37093 als kritiek geclassificeerd staat, waarschuwt ZDI dat deze kwetsbaarheid de sleutel vormt tot het benutten van alle andere problemen. De authenticatie-bypass maakt de overige zeven kwetsbaarheden praktisch exploiteerbaar, ook al hebben ze lagere severity-scores.
Remote code execution en directory traversal
De complete lijst bevat drie remote code execution-bugs (CVE-2025-37089, CVE-2025-37091, CVE-2025-37092, CVE-2025-37096), twee directory traversal-problemen (CVE-2025-37094 en CVE-2025-37095) en één server-side request forgery-issue (CVE-2025-37090).
Gevoelige informatie is te openbaren in de getroffen versies van HPE StoreOnce VSA, zo bevestigt ZDI. Hoewel authenticatie vereist is voor exploitatie, is deze authenticatiestap ook te omzeilen.
Upgrade vereist
StoreOnce integreert met backup-software zoals HPE Data Protector, Veeam, Commvault en Veritas NetBackup. HPE heeft geen workarounds of mitigaties voor de acht kwetsbaarheden vermeld in het bulletin. Upgraden naar versie 4.3.11 blijft de enige aanbevolen oplossing.
Hoewel er geen meldingen zijn van actieve exploitatie, moeten administrators van mogelijk getroffen omgevingen direct actie ondernemen. De combinatie van authenticatie-bypass met de andere kwetsbaarheden maakt dit een significante bedreiging voor backup-infrastructuren.