Hewlett Packard Enterpriseは、最大深刻度のバグにより攻撃者がログインプロンプトすら表示されないまま管理プラットフォーム上でコードを実行できる可能性があることを認め、顧客に対して「今やっていることをいったん止めて」OneViewにパッチを適用するよう求めた。
CVE-2025-37164として追跡され、CVSSスケールで最大の10.0と評価されたこの脆弱性は、HPE OneViewのバージョン5.20〜10.20に影響し、認証不要のリモートコード実行を可能にする。同社が今週公開したアドバイザリによれば。OneViewは多くのエンタープライズ環境の中核に位置し、サーバー、ファームウェア、ストレージ、ライフサイクル管理のための中央コントロールプレーンとして機能している。
「Hewlett Packard Enterprise OneView Softwareに潜在的なセキュリティ脆弱性が確認されました」とHPEはアドバイザリで述べた。「この脆弱性は悪用される可能性があり、リモートの未認証ユーザーがリモートコード実行を行える恐れがあります」
HPEによると、この問題はセキュリティ研究者のNguyen Quoc Khanh氏によって報告されており、顧客に対してOneView 11.0へアップグレードするか、緊急ホットフィックスを直ちに適用するよう強く求めている。OneView仮想アプライアンス向けと、HPE Synergy導入環境向けに、それぞれ別の修正が提供されている。
この脆弱性とベンダーのホットフィックスを分析したRapid7は、真の危険は単なるコード実行そのものではなく、「どこで」それが起きるかだとThe Registerに語った。OneViewは通常、広範な権限を持ち、ほとんど監視されない状態でネットワークの奥深くに配備されている。信頼できるものだと想定されているからだ。その層での未認証RCEは、単に扉を開けるだけではなく、建物の鍵を丸ごと渡すようなものだ。
言い換えれば、OneViewを攻略されれば、攻撃者は単一の侵害されたマシンへのアクセスではなく、インフラの大きな部分を集中管理の形で大規模に掌握できる可能性がある。つまり、平均的なエッジ向けサーバーのバグよりも、はるかに魅力的な標的となる。
Rapid7がホットフィックスを初期調査したところ、この脆弱性はアプライアンスが公開している特定のREST APIエンドポイントに関連していることが示唆された。修正はウェブサーバーレベルでそのエンドポイントへのアクセスを遮断することで機能しており、同社はこのエンドポイントが主要な侵入ベクターである可能性が高いと強い確信を持っているという。
HPEはこの欠陥が実際に悪用されているかどうかを明らかにしていないが、過去の例からすると、この種のバグが理論上のまま長く放置されることはない。高い権限を持つ管理プラットフォームは、境界防御を迂回する近道を狙うランサムウェア集団やその他の攻撃者にしばしば狙われる。
現時点では、脆弱なバージョンのOneViewを運用しているなら、直ちにパッチ適用またはアップグレードを行うべきだ。一方Rapid7は、防御側に対してこの問題を侵害前提のシナリオとして扱い、ネットワークセグメンテーションを見直し、インフラ管理層を「触れないもの」として扱うのをやめるよう提言している。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/19/hpe_oneview_rce_bug/
