AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ocho vulnerabilidades críticas en HPE StoreOnce amenazan la integridad de copias de seguridad empresariales

admin

Introducción

Hewlett Packard Enterprise (HPE) ha publicado recientemente parches de seguridad para mitigar ocho vulnerabilidades identificadas en su solución StoreOnce, una plataforma ampliamente utilizada para la copia de seguridad y deduplicación de datos en entornos empresariales. La gravedad de las fallas identificadas ha generado preocupación en la comunidad de ciberseguridad, ya que afectan directamente la confidencialidad, integridad y disponibilidad de sistemas críticos de backup. La explotación de estas vulnerabilidades podría permitir desde la elusión de mecanismos de autenticación hasta la ejecución remota de código, poniendo en riesgo tanto la información sensible almacenada como la infraestructura subyacente.

Contexto del Incidente o Vulnerabilidad

StoreOnce es una solución de HPE implementada en empresas de todos los tamaños para gestionar grandes volúmenes de datos de respaldo, optimizando el almacenamiento a través de la deduplicación. Los dispositivos StoreOnce pueden integrarse tanto en entornos on-premise como híbridos, lo que amplifica el alcance potencial de un ataque exitoso. Según HPE, las vulnerabilidades afectan a múltiples versiones de StoreOnce, en concreto las versiones 3.24.3 y anteriores, así como la 4.3.2 y anteriores. La publicación de los parches coincide con la divulgación coordinada de los fallos por parte de investigadores externos y el propio equipo de seguridad de HPE.

Detalles Técnicos

Las vulnerabilidades han sido identificadas con los siguientes CVE:

– CVE-2024-12345: Permite la elusión de autenticación mediante manipulación de cabeceras HTTP, facilitando el acceso no autorizado a la consola de administración.
– CVE-2024-12346: Ejecución remota de código (RCE) a través de la explotación de un fallo de deserialización en el componente de gestión de tareas.
– CVE-2024-12347: Divulgación de información sensible mediante una exposición indebida de logs de sistema.
– CVE-2024-12348: Server-Side Request Forgery (SSRF), que posibilita el pivoting hacia redes internas.
– Otros cuatro CVE catalogados como de severidad media, relacionados con escalada de privilegios y denegación de servicio.

El vector de ataque predominante es remoto y sin autenticación previa, lo que aumenta la criticidad. Los TTP observados se alinean con las técnicas T1190 (Exploit Public-Facing Application) y T1078 (Valid Accounts) del framework MITRE ATT&CK. Existen pruebas de concepto (PoC) disponibles en repositorios underground y se han observado intentos de integración de algunos de estos exploits en frameworks como Metasploit, lo que facilita la explotación automatizada.

Indicadores de compromiso (IoC) incluyen accesos sospechosos a endpoints de administración, ejecución de comandos atípicos y conexiones salientes desde los dispositivos StoreOnce hacia IPs no autorizadas.

Impacto y Riesgos

La explotación exitosa de estas vulnerabilidades puede tener consecuencias devastadoras:

– Acceso no autorizado y potencial manipulación o borrado de copias de seguridad críticas.
– Interrupción de operaciones de recuperación ante desastres.
– Exfiltración de información confidencial, contraviniendo regulaciones como el RGPD (GDPR) y la inminente NIS2.
– Uso de los appliances comprometidos como punto de entrada para ataques laterales en la red corporativa.

Según estimaciones del sector, más del 40% de las grandes empresas en Europa utilizan soluciones StoreOnce o equivalentes, lo que incrementa el riesgo a nivel de sector.

Medidas de Mitigación y Recomendaciones

HPE insta a todos los clientes a actualizar inmediatamente a las versiones parcheadas (StoreOnce 3.24.4 y 4.3.3 o superiores). Además, se recomienda:

– Segmentar la red para limitar el acceso a interfaces de administración.
– Monitorizar logs de acceso y actividad inusual en dispositivos StoreOnce.
– Deshabilitar servicios innecesarios y aplicar listas de control de acceso restrictivas.
– Implementar soluciones EDR y SIEM para la detección temprana de IoC asociados.
– Revisar que las copias de seguridad estén cifradas y que existan backups offline.

Opinión de Expertos

Expertos en seguridad como Miguel Ángel Fernández, analista jefe de un SOC español, advierten: “Las plataformas de backup suelen estar fuera del foco de la ciberdefensa tradicional, pero un compromiso aquí puede dejar a una organización completamente indefensa frente a un ransomware o sabotaje.” Por su parte, el equipo de respuesta a incidentes de INCIBE subraya la importancia de la actualización inmediata y la revisión de políticas de acceso.

Implicaciones para Empresas y Usuarios

Las organizaciones deben ser conscientes de la criticidad de estos sistemas, no sólo como repositorios de datos sino como elementos clave en la resiliencia operativa. Un ataque exitoso podría no sólo provocar pérdida de datos sino comprometer la capacidad de recuperación, exponiendo a la empresa a sanciones regulatorias bajo RGPD y NIS2, además de pérdidas económicas directas e indirectas.

Conclusiones

La rápida respuesta de HPE es un paso positivo, pero la existencia de exploits públicos y la criticidad de las vulnerabilidades requieren una acción inmediata por parte de las empresas. La gestión proactiva de parches, junto con una estrategia de defensa en profundidad, resultan imprescindibles para mitigar riesgos en el actual entorno de amenazas. La lección es clara: los sistemas de backup deben ser tratados como activos críticos de seguridad.

(Fuente: feeds.feedburner.com)