Dell Technologies, Dell Storage Manager’ı etkileyen, kimliği doğrulanmamış uzak saldırganların depolama sistemlerini tamamen tehlikeye atmasına olanak verebilecek üç kritik güvenlik açığını açıkladı.
2020 R1.21’den önceki Dell Storage Manager sürümleri, kimlik doğrulama mekanizmalarını tamamen atlayan saldırılara karşı savunmasızdır ve saldırganların geçerli kimlik bilgileri olmadan tam sistem erişimi elde etmesine olanak tanır.
24 Ekim 2025’te açıklanan güvenlik açıkları, Dell Storage Center altyapısına güvenen kuruluşlar için acil bir tehdit oluşturuyor.
En ciddi güvenlik açığı olan CVE-2025-43995, 9,8’lik kritik CVSS taban puanına sahiptir ve bu, kullanım için herhangi bir önkoşul olmaksızın ağ tarafından istismar edilebilir bir güvenlik açığını temsil eder.
Bu uygunsuz kimlik doğrulama güvenlik açığı, Dell Storage Manager sürüm 20.1.21’de bulunmaktadır ve kimliği doğrulanmamış saldırganların DataCollectorEar.ear bileşeni aracılığıyla koruma mekanizmalarını atlamasına olanak tanır.
Güvenlik açığı özellikle ApiProxy.war tarafından açığa çıkarılan ve özel hazırlanmış SessionKey ve UserId parametreleri kullanılarak erişilebilen API’lerden yararlanıyor.
Dell’in güvenlik tavsiyesi, bu kimlik bilgilerinin compellentservicesapi içinde yönetim amacıyla oluşturulan özel hizmet hesaplarına karşılık geldiğini ortaya koyuyor.
Bu güvenlik açığından yararlanan bir saldırgan, depolama yönetimi işlevlerine sınırsız erişim elde ederek hassas verileri açığa çıkarabilir, yapılandırmaları değiştirebilir veya kritik depolama işlemlerini kesintiye uğratabilir.
İkinci kritik güvenlik açığı olan CVE-2025-43994 de 8,6 CVSS puanıyla hemen ilgilenilmeyi hak ediyor.
Bu eksik kimlik doğrulama güvenlik açığı, Dell Storage Manager sürüm 20.1.21’i etkiler ve kimliği doğrulanmamış uzaktaki saldırganların, kimlik doğrulama gerektirmesi gereken kritik işlevlere erişmesine olanak tanır.
Güvenlik açığı bilgilerin açığa çıkmasına neden oluyor; bu da saldırganların geçerli kimlik bilgileri sağlamadan depolama yapılandırmaları, kullanıcı hesapları ve sistem topolojisi hakkındaki hassas verileri alabileceği anlamına geliyor.
Kimlik doğrulamayla ilgili bu iki güvenlik açığının birleşimi, saldırganların sistem bileşenlerini hem keşfedip hem de bu bileşenlerden yararlanabileceği özellikle tehlikeli bir senaryo oluşturur.
XML Varlık Referansı Güvenlik Açığı
Bu kimlik doğrulama atlamalarını tamamlayan CVE-2025-46425, CVSS puanı 6,5 olan bir XML harici varlık (XXE) güvenlik açığı sunuyor. Bu güvenlik açığı Dell Storage Manager sürüm 20.1.20’yi etkiler ve düşük düzey ayrıcalıklar gerektirir ancak çok aşamalı bir saldırıda kullanılabilir.
XML harici varlık referanslarının uygunsuz şekilde kısıtlanması, saldırganların yetkisiz erişim saldırıları gerçekleştirmesine, potansiyel olarak depolama sistemindeki hassas dosyaları okumasına veya altyapı içinde yanal hareket gerçekleştirmesine olanak tanır.
Bu güvenlik açığı bir düzeyde kimlik doğrulama gerektirse de, saldırganlar aynı yazılımdaki kimlik doğrulama güvenlik açıklarını atladığında bu güvenlik açığından yararlanmak önemsiz hale gelir.
Dell Technologies, bu güvenlik açıklarını gidermek için tüm müşterilerin Dell Storage Manager sürüm 2020 R1.22 veya sonraki bir sürüme yükseltme yapmalarını önemle önerir.
İyileştirme, üç CVE’nin tamamını hedef alır ve bu güvenlik açıklarının kritik niteliği göz önüne alındığında derhal önceliklendirilmelidir.
Dell Storage Manager’ı çalıştıran kuruluşlar, mevcut sürümlerini etkilenen ürün listesine göre değerlendirmeli ve güncellemeleri gecikmeden uygulamalıdır.
Saldırı yüzeyi özellikle endişe verici çünkü bu güvenlik açıkları, kullanıcı etkileşimi olmadan ağdan uzaktan yararlanmaya olanak tanıyor ve bu da onları kurumsal depolama altyapısını hedef alan tehdit aktörleri için oldukça çekici kılıyor.
İlişkilendirme ve Zaman Çizelgesi
Dell, CVE-2025-43995 ve CVE-2025-43994’ü belirledikleri için Tenable’dan güvenlik araştırmacılarına itibar ederken, bağımsız araştırmacı Ahmed Y.
Elmogy, CVE-2025-46425’i keşfetti. Dell’in düzeltme kılavuzunu 2020 R1.22 veya sonraki bir sürüme güncellemesiyle güvenlik açıkları ilk kez açıklandığı gün revizyona tabi tutuldu.
Güvenlik ekipleri, Dell Storage Manager dağıtımlarını derhal gözden geçirmeli ve rakipler yararlanma araçları geliştirmeden önce, kritik kimlik doğrulama atlama risklerini ortadan kaldırmak için yama uygulama etkinliklerini planlamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.