Hewlett Packard Enterprise (HPE) je ove nedjelje objavio ispravke za više ranjivosti u StoreOnce softveru, uključujući i kritičnu grešku koja omogućava zaobilaženje autentifikacije.
StoreOnce softver pokreće HPE-ove proizvode za skladištenje podataka, koji predstavljaju sisteme za sekundarno skladištenje i obezbjeđuju zaštitu podataka, upravljanje kopijama, bekap i deduplikaciju, radi povećanja efikasnosti. StoreOnce VSA, virtuelni uređaj koji nudi iste funkcionalnosti, takođe je dostupan.
Kritično pitanje riješeno ove nedjelje u StoreOnce softveru, označeno kao CVE-2025-37093 (CVSS ocjena 9.8), otkriveno je u implementaciji metode machineAccountCheck.
„Problem proizilazi iz nepravilne implementacije algoritma za autentifikaciju. Napadač može iskoristiti ovu ranjivost kako bi zaobišao autentifikaciju na sistemu“, navodi se u ZDI savjetu.
Ne postoje dokazi da je CVE-2025-37093 do sada iskorišćena u stvarnim napadima, ali bezbjednosna firma Arctic Wolf upozorava da hakeri često targetiraju bekap rješenja.
„Arctic Wolf do sada nije zabilježio aktivno iskorišćavanje ove ranjivosti na terenu, niti postoji javno dostupan dokaz koncepta (PoC) eksploata. Međutim, hakeri bi je mogli uskoro ciljati, s obzirom na to da su bekap rješenja u prošlosti često bila meta“, navodi kompanija.
HPE je ispravio grešku objavljivanjem StoreOnce verzije 4.3.11. Ova nadogradnja takođe rješava još sedam bezbjednosnih propusta, uključujući četiri ocijenjena kao „visoko ozbiljna“, koji bi mogli dovesti do udaljenog izvršavanja koda (RCE).
Iako sve četiri RCE ranjivosti zahtijevaju autentifikaciju za iskorišćavanje, moguće ih je povezati sa kritičnim propustom za zaobilaženje autentifikacije kako bi se potpuno kompromitovali ranjivi sistemi.
Preostale ranjivosti mogle bi se iskoristiti za napade na strani servera (SSRF), kao i za brisanje proizvoljnih fajlova ili curenje podataka putem napada kroz obilazak putanje (path traversal). Njihovo iskorišćavanje takođe zahtijeva autentifikaciju, ali ZDI upozorava da se taj mehanizam može zaobići.
Izvor: SecurityWeek
