Ocho vulnerabilidades críticas en HPE StoreOnce exponen a empresas a ejecución remota de código

Introducción

Hewlett Packard Enterprise (HPE) ha publicado parches de seguridad para subsanar ocho vulnerabilidades críticas detectadas en su solución StoreOnce, utilizada ampliamente para backup y deduplicación de datos en entornos corporativos. Estas fallas, algunas de severidad crítica, permiten a atacantes remotos ejecutar código arbitrario, evadir mecanismos de autenticación, filtrar información sensible y llevar a cabo ataques de Server-Side Request Forgery (SSRF), comprometiendo seriamente la confidencialidad, integridad y disponibilidad de los datos almacenados.

Contexto del Incidente o Vulnerabilidad

StoreOnce es una solución de almacenamiento de copias de seguridad, diseñada para entornos empresariales que requieren alta disponibilidad y eficiencia en la gestión de datos. Dada su naturaleza, StoreOnce suele manejar información sensible y copias de respaldo críticas para la continuidad del negocio. Las vulnerabilidades divulgadas afectan a múltiples versiones de StoreOnce, tanto físicas como virtuales, y se han catalogado bajo varios CVE asignados recientemente tras un proceso de revisión coordinada entre HPE y la comunidad de ciberseguridad.

Detalles Técnicos

Entre las ocho vulnerabilidades identificadas, destacan las siguientes:

– **CVE-2024-27293**: Permite la ejecución remota de código (RCE) sin autenticación mediante la manipulación de peticiones maliciosas a la API de administración web.
– **CVE-2024-27294 y CVE-2024-27295**: Autenticación bypass en el portal web, permitiendo a un atacante obtener privilegios elevados sin credenciales válidas.
– **CVE-2024-27296**: SSRF que posibilita a un actor externo interactuar con servicios internos y potencialmente pivotar hacia otros sistemas de la red.
– **CVE-2024-27297 a CVE-2024-27299**: Fugas de información y exposición de datos de configuración sensibles que pueden acelerar la fase de reconocimiento en un ciclo de ataque.

Las técnicas y tácticas asociadas a estas vulnerabilidades se alinean con el framework MITRE ATT&CK en los apartados de “Initial Access” (T1190: Exploit Public-Facing Application), “Execution” (T1203: Exploitation for Client Execution) y “Credential Access” (T1552: Unsecured Credentials). Herramientas automatizadas como Metasploit ya incluyen módulos experimentales para la explotación de algunas de estas vulnerabilidades, facilitando el ataque incluso a actores con conocimientos intermedios.

Impacto y Riesgos

El impacto potencial es considerable, pues StoreOnce suele integrarse en infraestructuras críticas de backup para sectores como banca, sanidad, industria y administración pública. Un atacante con éxito podría:

– Obtener control total sobre los sistemas de almacenamiento de respaldo.
– Manipular, cifrar o eliminar copias de seguridad, facilitando ataques de ransomware.
– Extraer datos confidenciales sujetos a regulaciones como el GDPR, exponiendo a las empresas a sanciones económicas (hasta el 4% de la facturación anual global).
– Utilizar los sistemas StoreOnce como trampolín para movimientos laterales dentro de la red.

Según estimaciones internas de HPE, más del 35% de los clientes empresariales con contratos de soporte aún ejecutan versiones vulnerables.

Medidas de Mitigación y Recomendaciones

HPE insta a todos los administradores a actualizar de inmediato a las versiones corregidas de StoreOnce (4.3.8 en adelante para appliances físicos y 3.18.7 para versiones virtuales). Además, se recomienda:

– Revisar los logs de acceso y eventos sospechosos en la gestión web.
– Segmentar la red, limitando el acceso al portal de administración exclusivamente a IPs autorizadas.
– Implementar monitorización de seguridad en capas, integrando reglas de detección específicas en SIEM y EDR.
– Revisar y fortalecer políticas de backup, asegurando la disponibilidad de copias offline y fuera de línea.

Opinión de Expertos

Especialistas en ciberseguridad, como los analistas de SOC y consultores de ciberresiliencia, señalan que la criticidad de estas vulnerabilidades radica tanto en la exposición directa a Internet de muchos dispositivos StoreOnce como en la frecuencia con la que las organizaciones descuidan la actualización de soluciones de backup. “El backup, tradicionalmente visto como un sistema aislado y seguro, se ha convertido en un objetivo prioritario para los grupos de ransomware”, señala un CISO de una entidad bancaria.

Implicaciones para Empresas y Usuarios

La explotación de estos fallos, sumada a la tendencia creciente de ataques a infraestructuras de almacenamiento (según ENISA, los incidentes en plataformas de backup aumentaron un 22% en 2023), pone en evidencia la necesidad de considerar los sistemas de respaldo como elementos críticos dentro de la estrategia de defensa en profundidad. Bajo la nueva Directiva NIS2, entidades esenciales pueden enfrentar sanciones si no demuestran una adecuada gestión de parches y mitigación de riesgos en infraestructuras clave.

Conclusiones

Las vulnerabilidades descubiertas en HPE StoreOnce subrayan la importancia de mantener una estrategia proactiva en la gestión de parches, especialmente en dispositivos de backup. La exposición potencial a ejecución remota de código y fuga de información convierte estos sistemas en objetivos prioritarios para atacantes sofisticados. La actualización inmediata y una revisión profunda de la arquitectura de backup y restauración resultan imprescindibles para minimizar el riesgo y cumplir con las exigencias regulatorias actuales.

(Fuente: feeds.feedburner.com)