Acht Softwareschwachstellen in der Backuplösung StoreOnce von HPE machen Systeme attackierbar. Darunter findet sich eine "kritische" Lücke. Über weitere Angriffe kann Schadcode auf PCs gelangen. Eine gegen mögliche Attacken geschützte Version steht ab sofort zum Download bereit. HPE gibt an, die Lücken in Zusammenarbeit mit den Sicherheitsforschern von Trend Micros Zero Day Initiative gemeldet zu haben.
In einer Warnmeldung sind die Schwachstellen aufgelistet. Setzen Angreifer erfolgreich an der kritischen Sicherheitslücke (CVE-2025-37093) an, können sie auf einem nicht näher beschriebenen Weg die Authentifizierung umgehen.
In mehreren Fällen können Angreifer eigenen Code auf Systeme schieben und ausführen (etwa CVE-2025-3708 "hoch"). Danach erlangen sie in der Regel die volle Kontrolle über Computer. Derartige Attacken sollen aus der Ferne möglich sein. Außerdem können Angreifer auf eigentlich abgeschottete Daten zugreifen (CVE-2025-37095 "mittel"). Auch der manipulierende Zugriff auf Dateien ist möglich, und Angreifer sollen sogar Daten löschen können.
Um den geschilderten Attacken vorzubeugen, müssen Admins HPE StoreOnce 4.3.11 installieren. Die Entwickler geben an, dass alle vorigen Versionen verwundbar sind. Bislang gibt es keine Berichte zu laufenden Attacken. Unklar ist bislang auch, an welchen Parametern Admins bereits attackierte Systeme erkennen können.
Zuletzt sorgte HPE Aruba im April dieses Jahres mit mehreren Sicherheitslücken in unter anderem Access Points für Schlagzeilen. In diesem Kontext kann es ebenfalls zu Schadcode-Attacken kommen.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo