Kritik HPE StoreOnce Kusurları, saldırganlar tarafından uzaktan kod yürütülmesine izin verir


Hewlett-Packard Enterprise (HPE) kritik bir güvenlik bültenini (HPESBST04847 rev. 1), StoreOnce yazılımında 4.3.11’den önce versiyonları etkileyen birçok yüksek etkili güvenlik açıklarının kullanıcılarını uyardı.

Güvenlik açıkları, istismar edilirse, saldırganların kimlik doğrulamasını atlamasına, keyfi kodu uzaktan yürütmesine, sunucu tarafı istek amacıyla (SSRF) gerçekleştirmesine, dosyaları silmesine ve dizin geçiş yoluyla hassas bilgilere erişmesine izin verebilir.

CVE-2025-37093 olarak izlenen en şiddetli güvenlik açıklarından biri, uzak saldırganların etkilenen StoreAnce VSA sistemlerine yetkisiz erişim sağlayarak kimlik doğrulamasını tamamen atlamalarını sağlar.

– Reklamcılık –
Google Haberleri

MachineaccountCheck yönteminin yanlış uygulanmasına dayanan bu kusur, rakiplerin herhangi bir kullanıcı etkileşimi veya kimlik bilgisi olmadan sistem düzeyinde ayrıcalıklar kazanmalarına izin verir.

CVSS V3.1 baz skoru 9.8 (AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H) ile, “kritik” olarak sınıflandırılır ve hemen dikkat gerektirir.

CVES, saldırı vektörleri ve şiddet

Bülten, her biri belirli teknik çıkarımlara sahip sekiz farklı CVE’yi tanımlar.

Aşağıdaki tablo güvenlik açıklarını, CVSS puanlarını ve potansiyel etkileri özetlemektedir:

CVE kimliği Saldırı türü CVSS v3.1 vektörü Taban puanı Potansiyel etki
CVE-2025-37089 Uzak Kod Yürütme AV: N/AC: L/PR: H/UI: N/S: U/C: H/I: H/A: H 7.2 Tam sistem uzlaşması
CVE-2025-37090 Sunucu tarafı isteği asmeri AV: N/AC: L/PR: N/UI: N/S: U/C: L/I: N/A: N 5.3 SSRF, veri maruziyeti
CVE-2025-37091 Uzak Kod Yürütme AV: N/AC: L/PR: H/UI: N/S: U/C: H/I: H/A: H 7.2 Tam sistem uzlaşması
CVE-2025-37092 Uzak Kod Yürütme AV: N/AC: L/PR: H/UI: N/S: U/C: H/I: H/A: H 7.2 Tam sistem uzlaşması
CVE-2025-37093 Kimlik Doğrulama Bypass AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H 9.8 Yetkisiz Erişim, Veri Kaybı
CVE-2025-37094 Dizin geçiş, silme AV: N/AC: L/PR: H/UI: N/S: U/C: N/I: L/A: H 5.5 Keyfi dosya silme
CVE-2025-37095 Dizin geçiş, bilgi sızıntısı AV: N/AC: L/PR: H/UI: N/S: U/C: H/I: N/A: N 4.9 Bilgi Açıklama
CVE-2025-37096 Uzak Kod Yürütme AV: N/AC: L/PR: H/UI: N/S: U/C: H/I: H/A: H 7.2 Tam sistem uzlaşması

En kritik olan CVE-2025-37093, kimlik doğrulama veya kullanıcı etkileşimi gerektirmez, bu da ağ üzerinde oldukça sömürülebilir.

Saldırganlar, hassas verilere potansiyel olarak erişebilir, değiştirebilir veya silebilir, sistem kullanılabilirliğini bozabilir ve yedekleme ve depolama işlemlerinin bütünlüğünü tehlikeye atabilir.

CVE-2025-37094 gibi diğer güvenlik açıkları, kritik dosyaların silinmesine, veri bütünlüğünü ve iş sürekliliğini daha da tehdit edebilecek dizin geçiş saldırılarını etkinleştirir.

Azaltma ve Öneriler: Şimdi Yama

Rapora göre, HPE güçlü StoreOnce Software Versi çalıştıran tüm müşterilerinONS Öncesi 4.3.11 Hemen tanımlanan tüm güvenlik açıklarını ele alan 4.3.11 veya üstüne yükseltme.

Şu anda bu kusurlar için bilinen bir geçici çözüm yoktur, bu da sömürü önlemek için hızlı yamayı gerekli kılmaktadır.

Güvenlik ekipleri de:

  • Savunmasız StoreOnce sistemlerini güvenilmez ağlardan yamalanana kadar izole edin.
  • Yetkisiz erişim denemeleri ve olağandışı etkinlik için izleyin.
  • Saldırganlar tarafından potansiyel yanal hareketi sınırlamak için ağ segmentasyonunu uygulayın.
  • Sistem bütünlüğünü korumak için sistem yönetimini ve güvenlik prosedürlerini düzenli olarak gözden geçirin.

Daha fazla yardım için, müşterilerin ayrıntılı iyileştirme adımları için HPE Destek ile iletişime geçmeleri veya resmi güvenlik bültenine (belge kimliği: hpesbst04847en_us) başvurmaları önerilir.

Özet Tablo: HPE StoreOnce Kritik Güvenlikler

Etkilenen ürün Etkilenmiş sürümler Sürümde düzeltildi Anahtar CVES (Kritik) Yama gerekli mi?
HPE Storeonce VSA <4.3.11 4.3.11 CVE -2025-37093, -37094, -37089 Evet

Bu yeni açıklanan tehditler karşısında kurumsal verileri korumak ve operasyonel esnekliği korumak için acil eylem gereklidir.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link