Hewlett-Packard Enterprise (HPE), 7.15.0.646’dan önce Insight Destek (IRS) yazılımında çok sayıda yüksek etkili güvenlik açıklarını ele alan kritik bir güvenlik bültenini yayınladı.
Harici araştırmacılar tarafından tanımlanan ve HPE’ye açıklanan bu kusurlar, uzak saldırganların keyfi kod yürütmesine, travers dizinleri ve etkilenen sistemlerden duyarlı bilgileri yaymasına izin verebilir.
Güvenlik açıklarının teknik dökümü
Güvenlik açıkları CVE-2025-37097, CVE-2025-37098 ve CVE-2025-37099 olarak izlenir ve CVSS baz puanları 6,5 ila 9.8 arasında değişir ve bu da kritik şiddete yüksektir.
.png
)
Birincil saldırı vektörlerine teknik bir genel bakış:
- Dizin Traversal & Uzaktan Kod Yürütme (RCE):
- IRS hizmetinin dosya yükleme mekanizması, özellikle
processAtatchmentDataStreamyöntemDataPackageReceiverWebSvcHelperDoğru bir şekilde doğrulanamazattachmentNameparametre. Bu, saldırganların dizin geçiş dizilerini kullanmasına izin verir (örn.../../) Dosyaları amaçlanan dizinin dışında yazmak, potansiyel olarak kötü niyetli web mermileri Tomcat’s gibi yürütülebilir yollara yerleştirerekwebapps/ROOT/. - Sömürü için örnek sabun yükü: XML
../../webapps/ROOT/shell.jsp {base64-encoded-malicious-jsp} - Savunmasız Kod Snippet: Java
String attachmentFileLocation = attachmentFileDirectory + File.separatorChar + attachmentName; File file = new File(attachmentFileLocation); file.createNewFile(); // Writes attacker-controlled content to arbitrary paths - Başarılı sömürü, IRS hizmetinin ayrıcalıkları altında tam uzaktan kod yürütülmesine neden olabilir.
- IRS hizmetinin dosya yükleme mekanizması, özellikle
- XML Dış Varlık (XXE) Enjeksiyon ve Bilgi Açıklama:
- .
validateAgainstXSDHPE’lerde yöntemucacoreKütüphane, yeterli belge türü tanımı (DTD) kısıtlamaları olmadan cihaz kaydı sırasında XML girişini işlemler. Saldırganlar kötü niyetli XML varlıklarını sabun isteklerine enjekte edebilir ve sunucunun saldırgan kontrollü ana bilgisayarlara HTTP istekleri aracılığıyla yerel dosya içeriğini veya ortam değişkenlerini sızdırmasına neden olabilir. - Örnek xxe yükü: xml
&callhome;]]> - Dosya İçeriğini Ekspiltratlamak İçin Kötü amaçlı DTD: XML
"> %eval; %exfiltrate; - Bu saldırı, kimlik doğrulama jetonlarını çalmak ve ayrıcalıkları artırmak için dizin geçiş kusuru ile zincirlenebilir.
- .
Azaltma ve öneriler
HPE, bu güvenlik açıklarını şu şekilde ele alan IRS 7.15.0.646 sürümünü yayınladı:
- XML Validators’ta DTD işlemenin devre dışı bırakılması
- Dosya yolları için katı giriş sterilizasyonunun uygulanması
- Hassas iş akışlarına kimlik doğrulama kontrolleri ekleme
Yöneticiler için acil adımlar:
- IRS kurulumlarını Yönetici Ayarları> Yazılım Güncellemeleri aracılığıyla V7.15.0.646 veya üstüne yükseltin.
- Zamanında yamalanmayı sağlamak için otomatik güncellemeleri etkinleştirin.
- Şüpheli SOAP istekleri için gündelik günlükleri
/DeviceRegistrationVe/DataPackageReceiveruç noktalardan. - Araç yalnızca dahili bir bağlamda kullanılıyorsa, IRS uç noktalarına harici erişimi kısıtlayın.
Bu güvenlik açıkları, kurumsal yazılımlarda sağlam giriş validasyonunun ve güvenli XML ayrıştırma işleminin öneminin altını çizmektedir.
HPE Insight uzaktan desteği çalıştıran kuruluşlar, potansiyel sömürü, veri ihlalleri ve uzak sistem uzlaşmasını önlemek için hemen yama yapmalıdır.
Düzenli izleme ve güvenlik en iyi uygulamalarına bağlılık, gelişen tehditlere karşı savunmada kritik öneme sahiptir.
Daha fazla teknik detay ve kavram kanıtı kodu için, kamu tavsiyeleri ve HPE’nin resmi güvenlik bültenine bakın.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun