AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Ocho vulnerabilidades críticas en HPE StoreOnce exponen infraestructuras de backup empresarial**

admin

### Introducción

Hewlett Packard Enterprise (HPE) ha publicado recientemente un boletín de seguridad alertando sobre la detección de ocho vulnerabilidades que afectan a su solución StoreOnce, un sistema ampliamente utilizado en entornos empresariales para backup y deduplicación de datos en disco. Estas vulnerabilidades presentan riesgos elevados, especialmente en contextos donde la protección y la integridad de las copias de seguridad son críticas para garantizar la resiliencia ante incidentes de ciberseguridad.

### Contexto del Incidente o Vulnerabilidad

StoreOnce es una plataforma de backup basada en disco que proporciona servicios de deduplicación, tanto a nivel de hardware como de software, y es empleada por organizaciones que requieren altas capacidades de almacenamiento y restauración rápida ante desastres. Según ha informado HPE, las vulnerabilidades afectan a múltiples versiones de StoreOnce, incluidas la 3.18.x y anteriores, que se encuentran implementadas en cientos de grandes empresas y organismos públicos a nivel mundial.

El aviso de HPE se produce en un contexto en el que los ataques dirigidos a infraestructuras de backup han aumentado considerablemente, siendo objetivo prioritario para actores de amenazas que buscan comprometer la recuperación ante ransomware o exfiltrar datos sensibles.

### Detalles Técnicos

Las vulnerabilidades identificadas han sido catalogadas bajo los siguientes CVE:

– **CVE-2024-26005**: Permite ejecución remota de código (RCE) debido a una validación insuficiente de las entradas del usuario en los servicios de administración web.
– **CVE-2024-26006, CVE-2024-26007**: Exposición de credenciales y bypass de autenticación, facilitando el acceso no autorizado a funciones administrativas.
– **CVE-2024-26008 a CVE-2024-26012**: Diversas vulnerabilidades de escalada de privilegios, denegación de servicio (DoS) y exposición de información sensible.

Los vectores de ataque más relevantes incluyen la explotación de servicios RESTful y de administración web de StoreOnce, permitiendo a un atacante autenticado o, en algunos casos, no autenticado, ejecutar comandos arbitrarios, manipular configuraciones críticas o interrumpir operaciones de backup. Los TTPs identificados se alinean con las técnicas MITRE ATT&CK T1190 (Exploit Public-Facing Application), T1078 (Valid Accounts) y T1068 (Exploitation for Privilege Escalation).

Los indicadores de compromiso (IoC) principales incluyen registros de accesos anómalos a los paneles de administración y la ejecución de procesos no autorizados en el sistema operativo subyacente. Actualmente, ya circulan exploits públicos para al menos dos de los CVEs, y se han observado módulos de prueba en frameworks como Metasploit.

### Impacto y Riesgos

El impacto potencial es significativo. Una explotación exitosa podría permitir a un atacante:

– Comprometer la integridad y disponibilidad de las copias de seguridad.
– Acceder y exfiltrar datos altamente sensibles que residen en los sistemas de backup.
– Impedir la restauración de datos tras un incidente (por ejemplo, tras un ataque de ransomware).
– Utilizar StoreOnce como punto de entrada para movimientos laterales dentro de entornos corporativos.

Según estimaciones de HPE y analistas externos, hasta el 30% de las implementaciones StoreOnce globales podrían estar expuestas si no se aplican los parches. El coste medio de una brecha que afecta a infraestructuras de backup supera los 4 millones de euros, según el último informe de IBM Security.

### Medidas de Mitigación y Recomendaciones

HPE ya ha puesto a disposición actualizaciones de seguridad para las versiones afectadas. Se recomienda:

– Actualizar StoreOnce a la versión 4.3.2 o posterior.
– Restringir el acceso a los servicios de administración a redes internas o segmentadas.
– Monitorizar los logs de sistemas para detectar accesos y actividades sospechosas.
– Implementar autenticación multifactor (MFA) y políticas de contraseñas robustas.
– Realizar auditorías periódicas de seguridad y pruebas de penetración sobre la infraestructura de backup.
– Revisar las políticas de retención y cifrado de backup según los requisitos del GDPR y la directiva NIS2.

### Opinión de Expertos

Expertos del sector, como David Barroso (CounterCraft), advierten que “la protección del backup debe ser una prioridad equiparable a la del entorno de producción”. Añaden que “la tendencia a atacar los repositorios de backup continuará al alza, pues son un eslabón fundamental en la recuperación tras incidentes graves”. Desde el CERT de INCIBE, se destaca la importancia de la rápida aplicación de parches y la revisión de los controles de acceso.

### Implicaciones para Empresas y Usuarios

Esta serie de vulnerabilidades evidencia la creciente sofisticación de los ataques dirigidos a infraestructuras críticas. Para las empresas, no solo está en juego la continuidad de negocio, sino también el cumplimiento de obligaciones legales bajo la GDPR y la inminente NIS2, que ya exigen controles de seguridad reforzados en sistemas de backup. Los usuarios finales pueden verse afectados indirectamente por la pérdida o filtración de datos personales almacenados en estos sistemas.

### Conclusiones

El descubrimiento de estas vulnerabilidades en HPE StoreOnce subraya la necesidad de un enfoque proactivo y constante en la gestión de la seguridad de los sistemas de backup. La aplicación inmediata de los parches recomendados y la adopción de buenas prácticas de seguridad son imprescindibles para mitigar los riesgos asociados a estas amenazas emergentes.

(Fuente: www.bleepingcomputer.com)