- HPE、OneViewの重大なRCE脆弱性(CVE‑2025‑37164、深刻度10/10)を修正
- 悪用されると、攻撃者がサーバーを再構成したり、マルウェアを展開したり、永続的なバックドアを作成したりする可能性
- ユーザーはバージョン11.0へアップグレードするか、緊急ホットフィックスを直ちに適用する必要
HPEは、企業にさまざまな問題を引き起こしかねない、OneViewプラットフォームにおける最大深刻度の脆弱性を修正しました。
HPE OneViewは、管理者が単一のソフトウェア定義インターフェースを通じてHPEのサーバー、ストレージ、ネットワークを展開・監視・管理できる、集中型のインフラ管理プラットフォームです。この製品は、サーバーハードウェア、ファームウェア、ストレージ、ネットワーク構成を集中管理できるため、企業環境において極めて重要です。
サイバー犯罪者がアクセスを得た場合、サーバーの再構成、悪意あるファームウェアの展開、ワークロードの妨害、あるいはインフラ層での永続的なバックドア作成が可能になり得ます。これにより、大規模な停止、データ窃取、検知が困難な長期的侵害につながる恐れがあり、さらにOneViewはOS層より下で動作するため、従来のセキュリティツールでは不正利用を把握・阻止できない可能性があります。
アップグレードとホットフィックス
HPEは最近、新たなセキュリティアドバイザリを公開してパッチをリリースしましたが、未認証ユーザーが利用可能なリモートコード実行(RCE)の欠陥であると述べた以外、脆弱性の詳細は明らかにしませんでした。
このバグはCVE-2025-37164として追跡されており、深刻度は10/10(クリティカル)です。HPE OneViewのバージョン5-20から10.20が影響を受けます。
「Hewlett Packard Enterprise OneView Softwareにおいて、潜在的なセキュリティ脆弱性が特定されました」とHPEはアドバイザリで述べています。「この脆弱性は悪用される可能性があり、リモートの未認証ユーザーがリモートコード実行を行える恐れがあります」
ここでのキーワードは「可能性がある(could)」です。つまりHPEは、現時点では実環境で悪用されている事例を確認していないということです。しかし、その深刻度と破壊的な影響の可能性を踏まえると、特に成功のために広範なアクセスを必要とするランサムウェア運用者を中心に、サイバー犯罪者がすでに悪用方法を探っていると考えるのが妥当でしょう。
HPE OneViewを運用している場合は、ためらわずにバージョン11.0へアップグレードするか、緊急ホットフィックスを適用してください。OneViewの仮想アプライアンスとHPE Synergyには、それぞれ別の修正が用意されているとのことです。
