Hewlett Packard Enterprise (HPE) ha publicado un boletín de seguridad urgente en el que advierte sobre ocho vulnerabilidades de seguridad detectadas en StoreOnce, su solución empresarial para copia de seguridad y de duplicación basada en disco. Estas fallas afectan a todas las versiones del software anteriores a la v4.3.11, la cual ya está disponible y se recomienda como actualización prioritaria para todos los clientes.
CVE-2025-37093: vulnerabilidad crítica de omisión de autenticación
Entre los fallos destacados se encuentra la vulnerabilidad crítica CVE-2025-37093, con una puntuación CVSS v3.1 de 9.8/10, clasificada como omisión de autenticación. Esta brecha de seguridad permite a atacantes remotos eludir los mecanismos de autenticación existentes y acceder a funciones restringidas del sistema sin credenciales válidas.
La vulnerabilidad está vinculada a una mala implementación del método
1 | machineAccountCheck |
, como explicó Zero Day Initiative (ZDI), la organización que descubrió el fallo.
“Esta vulnerabilidad permite a los atacantes remotos revelar información confidencial sobre instalaciones afectadas de HPE StoreOnce VSA. Aunque se requiere autenticación para explotarla, esta puede ser eludida fácilmente”, señala ZDI.
Lista completa de vulnerabilidades corregidas en HPE StoreOnce v4.3.11
Además de CVE-2025-37093, el boletín de seguridad de HPE menciona otros siete fallos que van desde ejecución remota de código hasta cruce de directorios y falsificación de solicitudes del lado del servidor. La lista completa es la siguiente:
-
CVE-2025-37089 – Ejecución remota de código
-
CVE-2025-37090 – Falsificación de solicitudes del lado del servidor (SSRF)
-
CVE-2025-37091 – Ejecución remota de código
-
CVE-2025-37092 – Ejecución remota de código
-
CVE-2025-37093 – Omisión de autenticación (crítica)
-
CVE-2025-37094 – Eliminación arbitraria de archivos (traversal de directorios)
-
CVE-2025-37095 – Divulgación de información (traversal de directorios)
-
CVE-2025-37096 – Ejecución remota de código
Impacto potencial de las fallas
Aunque solo una vulnerabilidad fue clasificada como crítica, las otras representan riesgos serios, sobre todo si se explotan en conjunto. Según ZDI, la omisión de autenticación en CVE-2025-37093 puede actuar como un «facilitador» para explotar las demás fallas, aumentando drásticamente el riesgo general para los sistemas afectados.
Por ejemplo, CVE-2025-37094 (eliminación arbitraria de archivos) y CVE-2025-37095 (divulgación de información) están catalogadas como vulnerabilidades de gravedad media, pero podrían ser utilizadas como parte de una cadena de ataque más sofisticada.
Tiempo de respuesta y responsabilidad del proveedor
De acuerdo con la información proporcionada por ZDI, las fallas fueron reportadas a HPE en octubre de 2024, pero la corrección definitiva no llegó hasta siete meses después, en mayo de 2025. A pesar del largo tiempo transcurrido, hasta ahora no se han reportado casos de explotación activa de estas vulnerabilidades.
Sin embargo, el retraso en la publicación del parche pone de relieve la necesidad de contar con programas de gestión de vulnerabilidades más ágiles en entornos corporativos críticos.
¿Qué es HPE StoreOnce y por qué es importante protegerlo?
HPE StoreOnce es una solución ampliamente adoptada en entornos empresariales, centros de datos y proveedores de servicios en la nube para la gestión de respaldos y recuperación de datos. Su capacidad de deduplicación avanzada y su compatibilidad con múltiples soluciones de respaldo como HPE Data Protector, Veeam, Commvault y Veritas NetBackup la convierten en un componente esencial de las arquitecturas modernas de protección de datos.
La explotación de estas vulnerabilidades no solo comprometería la seguridad de los sistemas afectados, sino que también podría derivar en la pérdida de respaldos críticos, acceso no autorizado a datos sensibles o interrupciones en la continuidad del negocio.
Recomendaciones de seguridad
HPE no ha ofrecido soluciones temporales ni mitigaciones específicas, por lo que la única opción viable es actualizar inmediatamente a StoreOnce versión 4.3.11. Los administradores de sistemas deben actuar con rapidez para minimizar la superficie de ataque.
Pasos recomendados:
-
Actualizar a StoreOnce v4.3.11 en todos los entornos afectados.
-
Revisar registros de actividad y auditar accesos sospechosos.
-
Asegurar que las soluciones de backup integradas también estén actualizadas.
-
Implementar monitoreo de seguridad reforzado en los entornos de almacenamiento.
En fin, las ocho vulnerabilidades recientemente descubiertas en HPE StoreOnce, en particular CVE-2025-37093, representan un riesgo significativo para la seguridad de la infraestructura de respaldo empresarial. Actualizar a la versión 4.3.11 es una acción inmediata y crítica que todos los administradores deben priorizar para proteger sus entornos frente a posibles ataques cibernéticos.
La falta de mitigaciones alternativas subraya la urgencia de este parche, especialmente en organizaciones que manejan grandes volúmenes de datos o dependen de la disponibilidad continua de sus respaldos.
Fuente: The Hacker News
