為了讓受害組織增加恢復資料的難度,勒索軟體駭客往往會針對備份系統下手,清除企業組織備份的內容,一旦這類系統出現資安弱點,就很有可能被駭客拿來利用。因此,IT人員也要特別留意相關的資安弱點資訊。
HPE針對備份儲存系統StoreOnce發布資安公告,修補8項由趨勢科技旗下漏洞懸賞專案Zero Day Initiative(ZDI)通報的弱點,這些漏洞可被用於繞過身分驗證、遠端程式碼執行(RCE)、伺服器請求偽造(SSRF)、路徑穿越、任意檔案刪除,以及資訊洩露,影響HPE StoreOnce G4/4+,該公司發布4.3.11版予以修補。
StoreOnce是高效能備份暨資料保護解決方案,可靈活透過實體設備、虛擬設備,以及雲端環境進行部署,也能整合Cloud Bank Storage以混合雲型態建置。其特點是能透過刪除重複資料來大幅降低資源需求,並內建可防堵勒索軟體攻擊的威脅防護機制,支援應用程式感知備份。
根據CVSS風險評分,這批漏洞最危險的是身分驗證繞過漏洞CVE-2025-37093,風險值高達9.8分(滿分10分)。在HPE的資安公告裡,並未對這些漏洞說明其他細節,而ZDI在公告提及,這項弱點存在於StoreOnce的虛擬儲存設備Virtual Storage Appliance(VSA)版本,攻擊者能遠端利用,並在無需事先通過身分驗證的情況下觸發。
此漏洞發生在名為machineAccountCheck的方法,起因是其中一項身分驗證的演算法實作不當。ZDI於去年10月通報HPE,並在雙方協調之下於今年6月正式發布相關公告。
雖然目前這項漏洞尚未傳出遭到利用的情況,也尚無概念驗證程式碼(PoC),但資安業者Arctic Wolf提出警告,攻擊者很有可能串連其他危險係數較低的漏洞,從而達到遠端執行程式碼、洩露資訊,或是路徑穿越等目的。由於備份系統近年來不斷成為攻擊目標,他們認為駭客可能不久就會試圖利用這項漏洞。
除了重大層級的CVE-2025-37093,占據本次發布漏洞總數一半的RCE漏洞,也相當值得留意,這些都是高風險漏洞,風險值皆為7.2分,這些漏洞被登記為CVE-2025-37089、CVE-2025-37091、CVE-2025-37092、CVE-2025-37096列管。
熱門新聞
2024-08-05
2025-07-14
2025-07-14
2025-07-14
2025-07-11
2025-07-14
2025-07-11