Hewlett Packard Enterprise (HPE) ve Güvenlik Açıkları
Hewlett Packard Enterprise (HPE), StoreOnce adlı disk tabanlı yedekleme ve deduplikasyon çözümüne yönelik sekiz güvenlik açığı hakkında bir güvenlik duyurusu yayınladı. Bu kapsamda, HPE StoreOnce Software’ın eski sürümlerinde bulunan zafiyetleri kapatmak için önemli güncellemeler gerçekleştirilmiştir.
Kritik Güvenlik Açığı: CVE-2025-37093
Duyuruda dikkat çeken en önemli güvenlik açığı, CVE-2025-37093 koduyla tanımlanan ve kritik seviye olarak sınıflandırılan kimlik doğrulama atlama açığıdır. Bu açık, CVSS v3.1 puanı 9.8 ile sınıflandırılmıştır ve HPE StoreOnce yazılımlarının 4.3.11 versiyonundan önceki tüm sürümlerini etkilemektedir. Uygulamadaki zafiyetin etkili olmasına neden olan durum, machineAccountCheck yönteminin hatalı uygulanmasıdır.
Diğer Güvenlik Açıkları
Güncellenen sürümde düzeltilen diğer yedi güvenlik açığı arasında üç uzaktan kod çalıştırma hatası, iki dizin geçişi sorunu ve bir sunucu tarafı istek sahtekarlığı açığı bulunmaktadır. İşte güncellemeyle kapatılan zayıflıkların listesi:
- CVE-2025-37089 – Uzaktan Kod Çalıştırma
- CVE-2025-37090 – Sunucu Tarafı İstek Sahtekarlığı
- CVE-2025-37091 – Uzaktan Kod Çalıştırma
- CVE-2025-37092 – Uzaktan Kod Çalıştırma
- CVE-2025-37093 – Kimlik Doğrulama Atlama
- CVE-2025-37094 – Dizin Geçişi ile Rastgele Dosya Silme
- CVE-2025-37095 – Dizin Geçişi ile Bilgi Sızıntısı
- CVE-2025-37096 – Uzaktan Kod Çalıştırma
CVE Açıklarının Etkisi
HPE, bu açıkların geri bildirimlerini, Zero Day Initiative (ZDI) aracılığıyla almıştır. ZDI, CVE-2025-37093‘ün kimlik doğrulama mekanizmasının atlanması yoluyla diğer tüm açıkların istismarını kolaylaştırabileceğini belirtmektedir. Diğer zayıflıkların risk derecelerinin daha düşük olması, bu açıkların risksiz olduğu anlamına gelmez. Örneğin, CVE-2025-37094 ve CVE-2025-37095 gibi orta dereceli açıkların istismarında, zafiyetin etkileri karşılaştırıldığında oldukça ciddi sonuçlar doğurabilir.
Açıkların Keşfi ve Raporlanması
Güvenlik açıkları Ekim 2024’te keşfedilip HPE’ye bildirildi. Ancak, düzeltmelerin yapılabilmesi için tam yedi ay geçti. Şu an itibarıyla, bu açıkların faal olarak istismar edildiğine dair herhangi bir rapor bulunmamaktadır. Bu durum, HPE StoreOnce kullanıcıları için biraz olsun rahatlama sağlayabilir.
HPE StoreOnce Kullanım Alanları
HPE StoreOnce, genellikle büyük işletmeler, veri merkezleri ve bulut hizmet sağlayıcıları tarafından yedekleme ve kurtarma amacıyla kullanılmaktadır. Özellikle büyük veri veya sanallaştırılmış ortamlarla ilgilenen organizasyonlar için önemli bir bileşen haline gelmiştir. HPE StoreOnce, HPE Data Protector, Veeam, Commvault ve Veritas NetBackup gibi yedekleme yazılımlarıyla entegrasyon sağlamaktadır, bu da iş sürekliliğini ve etkili yedekleme yönetimini desteklemektedir.
Güvenlik Güncellemeleri ve Önlemler
HPE, duyurusunda bu sekiz açık için herhangi bir geçici çözüm veya alternatif öneride bulunmamıştır. Bu nedenle, güncellemelerin uygulanması, sistem yöneticileri için kritik bir öncelik haline gelmiştir. Etkilenen ortamlardaki yöneticilerin, bu zafiyetleri kapatmak için mevcut güvenlik güncellemelerini bir an önce uygulamaları gerekmektedir.
Sonuç olarak, HPE StoreOnce kullanıcılarının güvenlik açıklarını kapatmak için acele etmeleri ve güncel sürüme geçmeleri, veri güvenliğini sağlamak açısından büyük önem taşımaktadır. Bu tür zafiyetlerin her zaman bilinçli bir yönetim ve güncellemelerle kontrol altında tutulması gerektiği unutulmamalıdır.
