未認証ユーザーでも攻撃を実行でき、緩和策はなく、直ちに適用すべきホットフィックスがあるだけだ。
Hewlett Packard Enterprise(HPE)のネットワーク/システム管理スイート「OneView」に存在する最大深刻度のリモートコード実行(RCE)脆弱性は「深刻」であり、直ちにパッチを適用する必要があると、あるサイバーセキュリティ専門家は述べている。
「ベンダーは通常、脆弱性の深刻度を過小評価しがちだ」と、Center for Internet Securityでセキュリティのベストプラクティス担当エグゼクティブVPを務めるCurtis Dukesは言う。「しかしHPEはそうしなかった――スコアは10だ」
この脆弱性は未認証ユーザーによってリモートから実行可能であり、同氏によればスイートの最近のすべてのバージョンに影響する。さらに同氏は、OneViewが組織におけるITインフラの中核管理者である点を指摘した。
「こうした理由から、パッチは直ちに実装すべきだ」とDukes氏は述べた。 「国家主体の攻撃者も犯罪組織も、機会の窓があることを理解しており、エクスプロイトの開発に取り組んでいる可能性が高い」
HPEは同社のアドバイザリで、この脆弱性CVE-2025-37164が5.20から10.20までのすべてのバージョンに影響すると述べている。 セキュリティホットフィックスを適用することで解決できるが、HPE OneView 6.60.xxから7.00.00へのアプライアンスアップグレード後、およびHPE Synergy Composerの再イメージ後には、ホットフィックスを再適用する必要がある。
HPEは、 HPE OneView仮想アプライアンス向けと、 HPE Synergy Composer向けに、それぞれ別のホットフィックスを提供している。
アドバイザリはさらに、HPEのソフトウェア製品を実行しているシステムにインストールするサードパーティ製のセキュリティパッチは、顧客のパッチ管理ポリシーに従って適用すべきだと付け加えている。
コメントを求めたところ、HPEの広報担当者は、アドバイザリ以上に述べることはないとしつつ、管理者に対して可能な限り早くパッチをダウンロードしてインストールするよう促した。
Action1で脆弱性リサーチ担当ディレクターを務めるJack Bicer氏は、この脆弱性は認証もユーザー操作も不要で悪用できるため、「極めて深刻なセキュリティ問題だ。利用可能な回避策はないので、パッチは直ちに適用すべきだ。パッチを適用できるまでの間は、OneViewの管理インターフェースへのネットワークアクセスを、信頼できる管理用ネットワークのみに制限してほしい」と述べた。
HPEはOneViewを、統合APIを通じてコンピュート、ストレージ、ネットワーキングにまたがるインフラのライフサイクル管理を簡素化するソリューションだと説明している。管理者は、ワークロード最適化されたインフラテンプレートのカタログを作成でき、より一般的なIT担当者でも迅速かつ確実にリソースをプロビジョニングできる。これらのテンプレートは、物理、仮想、コンテナ化されたシステムを迅速にプロビジョニングし、BIOS設定、ローカルRAID構成、ファームウェア基準、共有ストレージなどを設定できる。HPEは、ソフトウェア定義のインテリジェンスにより、ITが高い信頼性、一貫性、制御を確保する再現可能なテンプレートで複数のアプリケーションを同時に実行できるとしている。また、組み込みの自動化によりプロビジョニングが高速化され、運用コストが低減されるとも述べている。
OneViewにおける直近の重大な脆弱性は6月に明らかになった:CVE-2025-37101で、OneView for VMware vCenterに特有のローカル権限昇格の問題である。悪用された場合、読み取り専用権限を持つ攻撃者がアクセス権を引き上げ、管理者操作を実行できるようになる可能性がある。
