【安全资讯】HPE警告StoreOnce存在严重认证绕过漏洞

概要：

Hewlett Packard Enterprise（HPE）近日发布安全公告，警告其磁盘备份与重复数据删除解决方案StoreOnce存在八个漏洞，其中包括一个严重级别的认证绕过漏洞（CVE-2025-37093）。这些漏洞影响所有4.3.11之前的版本，可能被远程攻击者利用，导致敏感信息泄露或系统被控制。尽管目前尚未发现漏洞被利用的迹象，但HPE建议用户立即升级至最新版本以修复这些漏洞。

主要内容：

HPE StoreOnce是一款广泛应用于大型企业、数据中心和云服务提供商的备份与恢复解决方案。此次发现的八个漏洞中，最严重的是CVE-2025-37093，其CVSS v3.1评分为9.8分。该漏洞存在于machineAccountCheck方法的实现中，由于认证算法的不当实现，攻击者可以绕过认证机制。

Zero Day Initiative（ZDI）发现并报告了这些漏洞，指出认证绕过问题是利用其他漏洞的关键。例如，CVE-2025-37094和CVE-2025-37095虽然是中危漏洞，但由于认证绕过的存在，实际利用难度低于其评分所示。攻击者可能通过这些漏洞删除任意文件或泄露敏感信息。

HPE在2024年10月收到漏洞报告，但直到2025年6月才发布修复补丁。目前，HPE未提供任何缓解措施或临时解决方案，升级至StoreOnce 4.3.11版本是唯一推荐的做法。由于StoreOnce与HPE Data Protector、Veeam等备份软件集成，其漏洞可能对依赖这些解决方案的企业造成广泛影响。

管理员应立即行动，确保系统更新至最新版本，以避免潜在的安全风险。此次事件再次凸显了及时修补漏洞的重要性，尤其是在涉及关键业务数据的系统中。