Hewlett-Packard Enterprise (HPE) StoreOnce yazılım platformunda, uzak saldırganların kötü amaçlı kod yürütmesine, kimlik doğrulama mekanizmalarını atlamasına ve duyarlı işletme verilerine erişmesine izin verebilecek birden fazla güvenlik açığı.
Güvenlik açıkları, 4.3.11’den önce HPE StoreOnce VSA sürümlerini etkiler ve dünya çapında kurumsal yedekleme ve depolama altyapısı için önemli riskler sunar.
Güvenlik Kusurları Etkisi Kurumsal Depolama Güvenliği
Yeni tanımlanan güvenlik açıkları, kurumsal depolama ortamlarının temel güvenliğini tehdit eden kapsamlı bir saldırı yüzeyini temsil etmektedir.
.png
)
CVE-2025-37093 güvenlik açığı, Hewlett-Packard Enterprise’ın StoreOnce Yedekleme ve Kurtarma Platformunda belirlenen en ciddi güvenlik risklerinden birini temsil eder.
Bu kimlik doğrulama bypass kusuru, kimlik doğrulanmamış uzak saldırganların güvenlik kontrollerini tamamen atlamasına ve kurumsal depolama sistemlerine yetkisiz erişim kazanmasına olanak tanır.
CVSS V3.1 baz skoru 9.8 (kritik) ile bu güvenlik açığı, veri koruması için eşleştirilmemiş HPE StoreOnce dağıtımlarına dayanan kuruluşlar için varoluşsal riskler oluşturmaktadır.
Güvenlik açığı portföyü, CVE-2025-37089, CVE-2025-37091, CVE-2025-37092 ve CVE-2025-37096 olarak izlenen birden fazla uzaktan Kod Yürütme (RCE) kusurları içerir, her biri 7.2’nin CVS’leri taşır.
Bu güvenlik açıkları, StoreOnce yazılım mimarisindeki zayıflıklardan yararlanarak, etkilenen sistemlerde keyfi kod yürütmeleri için yüksek ayrıcalıklara sahip kimlik doğrulamalı saldırganları sağlıyor.
Saldırı vektörü AV: n atışı, bu istismarların ağ sınırları arasında başlatılabileceğini ve kurumsal depolama altyapısını hedefleyen kötü niyetli aktörler için potansiyel saldırı yüzeyini önemli ölçüde genişletebileceğini göstermektedir.
Bu güvenlik açıklarının teknik bileşimi, StoreOnce yazılım yığınının çoklu katmanlarını hedefleyen sofistike saldırı metodolojilerini ortaya koymaktadır.
Dizin geçiş güvenlik açıkları CVE-2025-37094 ve CVE-2025-37095 sömürü yol manipülasyon zayıflıkları, eski keyfi dosya silme yetenekleri (CVSS 5.5) ve ikincisi kolaylaştırıcı bilgi ifşa saldırıları (CVSS 4.9).
Bu güvenlik açıkları, CVSS: 3.1/AV: N/AC: L/PR: H/UI: N/S: U vektör gösteriminden yararlanır ve bu da düşük karmaşıklık gereksinimlerine sahip ağdan erişilebilir saldırıları gösterir.
Uzaktan kod yürütme güvenlik açıkları, CVS’lerinde ortak özellikleri paylaşır: 3.1/AV: N/AC: L/PR: H/UI: N/S: U/C: H/I: H/A: H vektör dizeleri, gizlilik, bütünlük ve kullanılabilirlik alanlarında yüksek etki potansiyeli anlamına gelir.
PR: H ataması, sömürü için yüksek ayrıcalıklar gerekli olsa da, başarılı saldırıların tam sistem uzlaşmasına neden olabileceğini göstermektedir.
AC: L (Saldırı Karmaşıklığı: Düşük) derecesi, bu güvenlik açıklarının kolayca mevcut araçlar ve tekniklerle kullanılabileceğini ve bu da onları hem sofistike tehdit aktörleri hem de fırsatçı saldırganlar için cazip hedefler haline getirebileceğini düşündürmektedir.
Trend Micro’nun Sıfır Gün Girişimi (ZDI) ile işbirliği içinde çalışan anonim güvenlik araştırmacıları, bu güvenlik açıklarını koordineli araştırma çabalarıyla keşfettiler.
Hafifletme
HPE StoreOnce VSA dağıtımlarını kullanan kuruluşlar, 4.3.11 veya daha sonraki sürümlere yazılım güncellemeleri yoluyla acil iyileştirmeye öncelik vermelidir.
HPE, resmi Hewlett Packard Enterprise Destek Merkezi İndirme Portalı aracılığıyla mevcut olan bu sürümde belirlenen tüm güvenlik açıklarının ele alındığını doğruladı.
Düzeltme zaman çizelgesi, özellikle sömürü için kullanıcı etkileşimi gerektirmeyen 9.8 CVSS dereceli kimlik doğrulama bypass güvenlik açığının varlığı göz önüne alındığında kritiktir.
Sistem yöneticileri, etkilenen StoreOnce kurulumlarını altyapılarında tanımlamak için kapsamlı güvenlik açığı tarama prosedürleri uygulamalıdır.
StoreOnce yazılım yükseltmesinin yanında üçüncü taraf güvenlik güncellemelerini dağıtarken yerleşik yama yönetimi politikalarını takip eder.
Kuruluşlar ayrıca gerekli yazılım güncellemelerini uygularken potansiyel saldırı vektörlerini sınırlamak için ağ segmentasyon stratejilerini de gözden geçirmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!