惠普企業(Hewlett Packard Enterprise, HPE)近日發佈資安公告,揭露其備份與重複資料刪除平台 StoreOnce 存在 八項新資安漏洞,其中最具威脅的是被編號為 CVE-2025-37093 的身份驗證繞過漏洞,CVSS 評分高達 9.8 分(Critical),屬於極高風險級別。
CVE-2025-37093:攻擊門檻極低,具備完全繞過身份驗證的能力
該漏洞影響所有 StoreOnce Virtual Storage Appliance(VSA)4.3.11 以前的版本,允許遠端、未授權的攻擊者繞過身份驗證機制,直接存取備份系統與管理介面,等同於讓攻擊者取得內部資料與備份核心的主控權。漏洞是在 2024 年 10 月 31 日由匿名研究員通報,並由趨勢科技的 Zero Day Initiative(ZDI)協助揭露與驗證,ZDI 編號為 ZDI-CAN-24985。
根據 CVSS v3.1 的向量(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),該漏洞具備:
- 網路層級可利用(AV:N)
- 低攻擊複雜度(AC:L)
- 無需權限或使用者互動(PR:N, UI:N)
- 機密性、完整性與可用性全面高影響(C:H/I:H/A:H)
換言之,攻擊門檻極低,後果卻極為嚴重。
涉及的其餘七項漏洞一覽
除了 CVE-2025-37093 外,本次資安公告(編號 HPESBST04847 Rev.1)還揭露以下漏洞,影響涵蓋遠端程式碼執行、目錄穿越、資訊洩露與伺服器端請求偽造等:
這些漏洞雖然評分略低於 CVE-2025-37093,但仍然具備中高等風險,特別是在系統無權限控管或網路缺乏隔離的環境中,更可能被鏈結利用以進行後續滲透與橫向移動。
受影響範圍與應對建議
- 受影響版本:所有 HPE StoreOnce VSA 4.3.11 以前版本
- 修補方案:HPE 已釋出版本 4.3.11,修復所有八項漏洞,建議立即升級
- 更新來源:HPE 支援中心(HPE Support Center)
此外,建議企業在套用此類第三方更新時,務必遵循既有的 漏洞修補與變更管理流程,避免操作失誤導致備份中斷或資料遺失。
資安專家觀點:備份系統已成為攻擊目標新熱點
在近年攻擊趨勢中,我們觀察到越來越多攻擊者鎖定企業的備份與恢復基礎設施,不僅為了竊取機敏資訊,更意圖破壞企業在遭遇勒索軟體時的災難復原能力。
StoreOnce 作為高度普及的備份平台,若部署環境未及時修補,極可能成為內部網路攻擊的第一跳板。
此漏洞通報提醒我們:備份系統不再是「被動」資產,反而是需要積極保護的「關鍵防線」之一。
專家建議摘要
- 儘速盤點內部 StoreOnce VSA 使用狀況,確認版本與修補進度
- 對外開放的管理介面應部署多層防護(如 VPN、MFA、IP 白名單)
- 加強對備份系統的異常行為監控(如異常登入、未授權操作)
- 將備份設備納入常規漏洞掃描與滲透測試範圍
- 建立事前、事中、事後的備份安全策略與演練機制