Kritik CVE-2025-37093 HPE StoreOnce Systems

Hewlett Packard Enterprise (HPE), StoreOnce veri yedekleme ve tekilleştirme platformunda yeni keşfedilen sekiz güvenlik açıkına hitap eden yeni bir güvenlik danışmanlığı yayınladı. Bunlar arasında, en şiddetli, etkilenen sistemler için kritik bir risk gösteren 9.8’e yakın bir CVSS skoru taşıyan CVE-2025-37093 olarak izlenen bir kimlik doğrulama baypas güvenlik açığıdır.

Bir güvenlik bülteninde (belge kimliği: hpesbst04847 rev.1), HPE, StoreOnce Sanal Depolama Cihazının (VSA), özellikle 4.3.11’den önceki sürümlerden önceki sürümlerinin bir dizi uzaktan sömürü riskine karşı savunmasız olduğunu özetledi. Bunlar arasında Uzaktan Kod Yürütme (RCE), Sunucu Tarafı İstek Astruvası (SSRF), keyfi dosya silme, bilgi ifşası, dizin geçiş ve kimlik doğrulama baypası bulunur.

HPE, “Bu güvenlik açıkları, uzaktan kod yürütülmesine, bilgilerin ifşa edilmesine, sunucu tarafı isteğine, kimlik doğrulama baypasına, keyfi dosya silinmesine ve dizin geçiş bilgilerinin açıklanmasına izin vermek için uzaktan kullanılabilir” dedi.

CVE-2025-37093’teki spot ışığı: Kritik bir StoreOnce güvenlik açığı

Belirlenen tehditler arasında en çok ilgili, kritik bir Storeonce kırılganlığı olan CVE-2025-37093’tür. Bu kusur 4.3.11’den önceki tüm yazılım sürümlerini etkiler ve kimlik doğrulanmamış saldırganların kimlik doğrulama mekanizmalarını atlamasını ve sistemlere yetkisiz erişim kazanmasını sağlar.

HPE, bu güvenlik açığının 31 Ekim 2024’te Trend Micro Sıfır Günü Girişimi (ZDI) ile işbirliği içinde anonim bir araştırmacı tarafından bildirildiğini belirtti. ZDI-CAN-24985 altında kataloglanan güvenlik açığı şimdi yeni yayınlanan yazılım sürümünde yamalı.

CVSS v3.1 vektörü ile AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: HCVE-2025-37093 StoreOnce’deki güvenlik açığı, düşük saldırı karmaşıklığı ve kullanıcı etkileşimi eksikliği nedeniyle ciddi bir tehdit oluşturmaktadır.

Güvenlik açıklarının tam listesi

CVE-2025-37093 yanı sıra, danışman aşağıdaki güvenlik sorunlarını vurgulamaktadır:

• CVE-2025-37089 (ZDI-CAN-24981)-Uzak Kod Yürütme (CVSS: 7.2)
• CVE-2025-37090 (ZDI-CAN-24982)-Sunucu tarafı isteği Apgenesi (CVSS: 5.3)
• CVE-2025-37091 (ZDI-CAN-24983)-Uzak Kod Yürütme (CVSS: 7.2)
• CVE-2025-37092 (ZDI-CAN-24984)-Uzak Kod Yürütme (CVSS: 7.2)
• CVE-2025-37094 (ZDI-CAN-25314)-Dizin Traversal / Keyfi Dosya Silinmesi (CVSS: 5.5)
• CVE-2025-37095 (ZDI-CAN-25315)-Dizin geçiş / bilgi açıklaması (CVSS: 4.9)
• CVE-2025-37096 (ZDI-CAN-25316)-Uzak Kod Yürütme (CVSS: 7.2)

Bunların her biri çeşitli tehdit dereceleri ortaya koymaktadır, ancak kimlik bilgisi gerekmeden, engesiz olmayan saldırganlara tam erişim sağlama potansiyelinden dolayı derhal dikkat gerektiren kimlik doğrulama bypass kusuru olan CVE-2025-37093’tür.

Kim etkilenir ve nasıl hafifletilir

4.3.11’den önceki HPE StoreOnce VSA yazılım sürümlerini çalıştıran sistemler doğrudan etkilenir. Bu kurulumlar, CVE-2025-37093 dahil olmak üzere sekiz güvenlik açıklarının tümünü düzeltmek için gerekli yamaları içeren 4.3.11 veya üstüne yükseltme istenir.

HPE güncellenmiş yazılımı HPE Destek Merkezi aracılığıyla kullanılabilir hale getirirken, kuruluşların üçüncü taraf yamaları uygularken dahili yama yönetimi protokollerine uymaları önerilir.

Çözüm

HPE’nin StoreOnce yazılımındaki birden fazla güvenlik açığının yakın zamanda açıklanması, özellikle CVE-2025-37093 olarak izlenen kritik kimlik doğrulama baypası kusuru, bu yaygın olarak kullanılan bu yedekleme çözümüne dayanan kuruluşlar için acil bir güvenlik endişesini vurgulamaktadır. Kusurlar, sistemleri uzaktan kod yürütme ve yetkisiz erişim gibi risklere maruz bırakır.

Saldırganlar, ağlara daha derin erişim veya sabotaj kurtarma çabalarına daha derinlemesine erişim sağlamak için yedekleme altyapısını giderek daha fazla hedefledikçe, piyasaya çıkmamış mağaza dağıtımları cazip bir hedef sunuyor. Yamalı versiyona yükseltmek için acil eylem sadece tavsiye edilmez, aynı zamanda hassas verileri korumak ve operasyonel esnekliği korumak isteyen herhangi bir kuruluş için gereklidir.

İlgili