Hewlett-Packard Enterprise (HPE) kritik bir güvenlik bültenini (HPESBST04847 rev. 1), StoreOnce yazılımında 4.3.11’den önce versiyonları etkileyen birçok yüksek etkili güvenlik açıklarının kullanıcılarını uyardı.
Güvenlik açıkları, istismar edilirse, saldırganların kimlik doğrulamasını atlamasına, keyfi kodu uzaktan yürütmesine, sunucu tarafı istek amacıyla (SSRF) gerçekleştirmesine, dosyaları silmesine ve dizin geçiş yoluyla hassas bilgilere erişmesine izin verebilir.
CVE-2025-37093 olarak izlenen en şiddetli güvenlik açıklarından biri, uzak saldırganların etkilenen StoreAnce VSA sistemlerine yetkisiz erişim sağlayarak kimlik doğrulamasını tamamen atlamalarını sağlar.
.png
)
MachineaccountCheck yönteminin yanlış uygulanmasına dayanan bu kusur, rakiplerin herhangi bir kullanıcı etkileşimi veya kimlik bilgisi olmadan sistem düzeyinde ayrıcalıklar kazanmalarına izin verir.
CVSS V3.1 baz skoru 9.8 (AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H) ile, “kritik” olarak sınıflandırılır ve hemen dikkat gerektirir.
CVES, saldırı vektörleri ve şiddet
Bülten, her biri belirli teknik çıkarımlara sahip sekiz farklı CVE’yi tanımlar.
Aşağıdaki tablo güvenlik açıklarını, CVSS puanlarını ve potansiyel etkileri özetlemektedir:
CVE kimliği | Saldırı türü | CVSS v3.1 vektörü | Taban puanı | Potansiyel etki |
---|---|---|---|---|
CVE-2025-37089 | Uzak Kod Yürütme | AV: N/AC: L/PR: H/UI: N/S: U/C: H/I: H/A: H | 7.2 | Tam sistem uzlaşması |
CVE-2025-37090 | Sunucu tarafı isteği asmeri | AV: N/AC: L/PR: N/UI: N/S: U/C: L/I: N/A: N | 5.3 | SSRF, veri maruziyeti |
CVE-2025-37091 | Uzak Kod Yürütme | AV: N/AC: L/PR: H/UI: N/S: U/C: H/I: H/A: H | 7.2 | Tam sistem uzlaşması |
CVE-2025-37092 | Uzak Kod Yürütme | AV: N/AC: L/PR: H/UI: N/S: U/C: H/I: H/A: H | 7.2 | Tam sistem uzlaşması |
CVE-2025-37093 | Kimlik Doğrulama Bypass | AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H | 9.8 | Yetkisiz Erişim, Veri Kaybı |
CVE-2025-37094 | Dizin geçiş, silme | AV: N/AC: L/PR: H/UI: N/S: U/C: N/I: L/A: H | 5.5 | Keyfi dosya silme |
CVE-2025-37095 | Dizin geçiş, bilgi sızıntısı | AV: N/AC: L/PR: H/UI: N/S: U/C: H/I: N/A: N | 4.9 | Bilgi Açıklama |
CVE-2025-37096 | Uzak Kod Yürütme | AV: N/AC: L/PR: H/UI: N/S: U/C: H/I: H/A: H | 7.2 | Tam sistem uzlaşması |
En kritik olan CVE-2025-37093, kimlik doğrulama veya kullanıcı etkileşimi gerektirmez, bu da ağ üzerinde oldukça sömürülebilir.
Saldırganlar, hassas verilere potansiyel olarak erişebilir, değiştirebilir veya silebilir, sistem kullanılabilirliğini bozabilir ve yedekleme ve depolama işlemlerinin bütünlüğünü tehlikeye atabilir.
CVE-2025-37094 gibi diğer güvenlik açıkları, kritik dosyaların silinmesine, veri bütünlüğünü ve iş sürekliliğini daha da tehdit edebilecek dizin geçiş saldırılarını etkinleştirir.
Azaltma ve Öneriler: Şimdi Yama
Rapora göre, HPE güçlü StoreOnce Software Versi çalıştıran tüm müşterilerinONS Öncesi 4.3.11 Hemen tanımlanan tüm güvenlik açıklarını ele alan 4.3.11 veya üstüne yükseltme.
Şu anda bu kusurlar için bilinen bir geçici çözüm yoktur, bu da sömürü önlemek için hızlı yamayı gerekli kılmaktadır.
Güvenlik ekipleri de:
- Savunmasız StoreOnce sistemlerini güvenilmez ağlardan yamalanana kadar izole edin.
- Yetkisiz erişim denemeleri ve olağandışı etkinlik için izleyin.
- Saldırganlar tarafından potansiyel yanal hareketi sınırlamak için ağ segmentasyonunu uygulayın.
- Sistem bütünlüğünü korumak için sistem yönetimini ve güvenlik prosedürlerini düzenli olarak gözden geçirin.
Daha fazla yardım için, müşterilerin ayrıntılı iyileştirme adımları için HPE Destek ile iletişime geçmeleri veya resmi güvenlik bültenine (belge kimliği: hpesbst04847en_us) başvurmaları önerilir.
Özet Tablo: HPE StoreOnce Kritik Güvenlikler
Etkilenen ürün | Etkilenmiş sürümler | Sürümde düzeltildi | Anahtar CVES (Kritik) | Yama gerekli mi? |
---|---|---|---|---|
HPE Storeonce VSA | <4.3.11 | 4.3.11 | CVE -2025-37093, -37094, -37089 | Evet |
Bu yeni açıklanan tehditler karşısında kurumsal verileri korumak ve operasyonel esnekliği korumak için acil eylem gereklidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!