В Банке данных угроз безопасности информации (BDU) появилась новая запись под номером BDU:2026-01515, которая описывает опасную уязвимость в операционной системе и системах хранения данных компании Hewlett Packard Enterprise (HPE). Эксперты подтвердили, что ошибка позволяет удаленному злоумышленнику, изначально имеющему ограниченный доступ, получить полный контроль над критически важной инфраструктурой. Уязвимость затрагивает операционную систему HPE Alletra OS, а также системы хранения HPE Nimble Storage All Flash Arrays и HPE Nimble Storage Hybrid Flash Arrays.
Детали уязвимости
Согласно классификации, проблема относится к типу CWE-284, то есть представляет собой некорректный контроль доступа. Проще говоря, механизмы разграничения прав в ПО работают с ошибками. Следовательно, авторизованный пользователь с низким уровнем привилегий может обойти эти механизмы и выполнить действия, предназначенные только для администраторов. Это классический сценарий эскалации привилегий, который открывает путь к полной компрометации системы.
Уровень угрозы оценен как высокий. Базовые оценки по шкале CVSS составляют 9.0 для версии 2.0 и 8.8 для версии 3.1. Столь высокие баллы обусловлены рядом факторов. Во-первых, для эксплуатации уязвимости не требуется физический доступ к устройству или взаимодействие с пользователем. Во-вторых, атакующий должен обладать учетной записью с низкими привилегиями, что делает атаку несколько сложнее, но не исключает ее в корпоративной среде, где такие аккаунты широко распространены. В-третьих, успешная атака приводит к полной потере конфиденциальности, целостности и доступности данных, что является наихудшим возможным последствием.
Под удар попадают версии HPE Alletra OS до 6.1.2.800 и до 6.1.3.300. Поскольку эти системы используются в качестве основы для флэш-массивов и гибридных массивов хранения, уязвимость представляет значительный риск для центров обработки данных и корпоративных IT-инфраструктур. На таких системах часто хранится критически важная бизнес-информация, поэтому их компрометация может привести к серьезным финансовым и репутационным потерям. Производитель уже подтвердил наличие уязвимости и присвоил ей идентификатор CVE-2026-23594.
К счастью, способ устранения проблемы уже известен и является стандартным для подобных случаев. HPE выпустила обновления безопасности, которые полностью устраняют данную ошибку контроля доступа. Компания рекомендует всем клиентам, использующим уязвимые версии ПО, в кратчайшие сроки обновить свои системы до актуальных и защищенных релизов. Соответствующие патчи и инструкции опубликованы на официальном портале технической поддержки HPE. На текущий момент уязвимость считается устраненной со стороны вендора.
Важно отметить, что на момент публикации информации в BDU данные о наличии активных эксплойтов уточняются. Однако высокая степень опасности и относительная простота потенциальной атаки делают эту уязвимость привлекательной мишенью для киберпреступников. Как правило, после публикации деталей об ошибке такого класса сообщество безопасности ожидает появление Proof-of-Concept кода в течение короткого времени. Следовательно, окно для безопасного обновления может быть ограниченным.
Таким образом, системным администраторам и специалистам по информационной безопасности, в чьей инфраструктуре используются продукты HPE Alletra и Nimble Storage, необходимо немедленно провести аудит версий ПО. В случае обнаружения уязвимых систем следует запланировать и провести их обновление в рамках ближайшего регламентного окна обслуживания. Промедление с установкой патчей неоправданно увеличивает риски, учитывая критичность систем хранения данных. Регулярное и своевременное обновление программного обеспечения остается одним из самых эффективных базовых методов защиты от подобных угроз, направленных на повышение привилегий.
Ссылки
- https://bdu.fstec.ru/vul/2026-01515
- https://www.cve.org/CVERecord?id=CVE-2026-23594
- https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbst04995en_us&docLocale=en_US
