Hewlett Packard Enterprise (HPE), disk tabanlı yedekleme ve tekilleştirme çözümünü etkileyen sekiz güvenlik açığını uyarmak için bir güvenlik bültenini yayınladı.
Bu kez düzeltilen kusurlar arasında kritik bir şiddet (CVSS v3.1 puanı: 9.8) kimlik doğrulama baypas güvenlik açığı CVE-2025-37093, üç uzaktan kumanda yürütme hatası, iki dizin geçiş problemi ve bir sunucu tarafı istek forma sorunu altında izlenen güvenlik açığı bulunmaktadır.
Kusurlar, şimdi önerilen yükseltme sürümü olan v4.3.11’den önce HPE StoreOnce yazılımının tüm sürümlerini etkiler.
4.3.11 sürümünde düzeltilen sekiz güvenlik açığının tam listesi:
- CVE-2025-37089 – Uzak Kod Yürütme
- CVE-2025-37090 -Sunucu tarafı isteği asmacilik
- CVE-2025-37091 – Uzak Kod Yürütme
- CVE-2025-37092 – Uzak Kod Yürütme
- CVE-2025-37093 – Kimlik Doğrulama Bypass
- CVE-2025-37094 – dizin geçiş keyfi dosya silme
- CVE-2025-37095 – Dizin geçiş bilgileri açıklaması
- CVE-2025-37096 – Uzak Kod Yürütme
Bu sefer kusurlar hakkında pek çok ayrıntı açıklanmadı.
Bununla birlikte, onları keşfeden sıfır günlük girişimi (ZDI), bir kimlik doğrulama algoritmasının uygunsuz uygulanmasından kaynaklanan MachineAccountCheck yönteminin uygulanmasında CVE-2025-37093’ün var olduğunu belirtmektedir.
CVE-2025-37093, kritik olarak derecelendirilen tek güvenlik açığı olmasına rağmen, diğerleri şiddet derecesinde tipik olarak daha düşük kategorize edilmiş olsalar bile hala önemli riskler taşırlar.
ZDI, kimlik doğrulama baypas sorununun diğer tüm kusurlardaki potansiyeli açmanın anahtarı olduğunu açıklıyor, bu nedenle riskleri izole değil.
İki orta yüzlü dosya silme ve bilgi açıklama kusurları olan CVE-2025-3794 ve CVE-2025-37095 örnekleri, sömürünün skorda yansıtılandan pratik olarak daha kolay olduğunu göstermektedir.
ZDI, “Bu güvenlik açığı, uzak saldırganların Hewlett Packard Enterprise StoreOnce VSA’nın etkilenen kurulumları hakkında hassas bilgileri ifşa etmelerini sağlıyor.”
“Bu güvenlik açığından yararlanmak için kimlik doğrulama gerekse de, mevcut kimlik doğrulama mekanizması atlanabilir.”
Özellikle, kusurlar Ekim 2024’te HPE’ye keşfedildi ve bildirildi ve düzeltmeler nihayet müşteriler için mevcut olana kadar yedi tam ay geçti. Yine de, aktif sömürü raporu yoktur.
HPE StoreOnce genellikle büyük işletmeler, veri merkezleri, bulut hizmet sağlayıcıları ve genellikle büyük verileri veya büyük sanallaştırılmış ortamları işleyen kuruluşlarda yedekleme ve kurtarma için kullanılır.
StoreOnce, HPE Veri Koruyucusu, Veeam, Commvault ve Veritas NetBackup gibi yedekleme yazılımlarıyla bütünleşerek iş sürekliliği ve etkili yedekleme yönetimini sağlıyor.
Bununla birlikte, potansiyel olarak etkilenen ortamların yöneticileri derhal harekete geçmeli ve boşlukları kapatmak için mevcut güvenlik güncellemelerini uygulamalıdır.
HPE, bültendeki sekiz kusur için herhangi bir hafifletme veya geçici çözüm listelemiştir, bu nedenle yükseltme önerilen çözümdür.
Manuel yama modası geçmiş. Yavaş, hataya eğilimli ve ölçeklenmesi zor.
Eski yöntemlerin neden yetersiz kaldığını görmek için 4 Haziran’da Kandji + Tines’e katılın. Modern ekiplerin otomasyonu nasıl daha hızlı yama, riski kesmek, uyumlu kalmak ve karmaşık komut dosyalarını atlamak için otomasyonu nasıl kullandığına dair gerçek dünya örneklerine bakın.