米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、最大深刻度のHPE OneViewの脆弱性が攻撃で積極的に悪用されているとして警告した。
HPEのOneViewインフラ管理ソフトウェアは、IT管理者が集中管理インターフェースからストレージ、サーバー、ネットワーク機器の管理を自動化するのに役立つ。
CVE-2025-37164として追跡されているこの重大なセキュリティ欠陥は、ベトナムのセキュリティ研究者Nguyen Quoc Khanh(brocked200)がHPEに報告したもので、HPEは12月中旬にセキュリティパッチを公開した。
CVE-2025-37164はv11.00より前にリリースされたすべてのOneViewバージョンに影響し、未認証の脅威アクターが低難易度のコードインジェクション攻撃を通じて未パッチのシステム上でリモートコード実行を獲得できる。
「Hewlett Packard Enterprise OneView Softwareに潜在的なセキュリティ脆弱性が確認されました。この脆弱性は悪用される可能性があり、リモートの未認証ユーザーがリモートコード実行を行える恐れがあります」と、HPEは12月16日に警告した。
CVE-2025-37164には回避策や緩和策がないため、HPEは顧客に対し、可能な限り早急にOneViewバージョン11.00以降(HPEのSoftware Centerから入手可能)へアップグレードするよう助言した。
CISAはまた、この脆弱性を「実環境で悪用されている欠陥」のカタログに追加し、2021年11月に発行された拘束力のある運用指令(BOD)22-01に基づき、連邦文民行政部門(FCEB)機関に対して1月28日までにシステムを保護するための3週間の猶予を与えた。
BOD 22-01は連邦機関のみを対象としているものの、CISAは民間部門を含むすべての組織に対し、この悪用中の欠陥に対して可能な限り早急にデバイスへパッチを適用するよう促した。
「ベンダーの指示に従って緩和策を適用し、クラウドサービスについては該当するBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください」と、CISAは水曜日に警告した。
「この種の脆弱性は悪意あるサイバーアクターにとって頻繁に用いられる攻撃ベクトルであり、連邦エンタープライズに重大なリスクをもたらします」と、付け加えた。
7月には、HPEは標準的なデバイス認証を回避できる可能性があるAruba Instant Onアクセスポイントのハードコードされた認証情報についても警告した。1か月前には、リモートコード実行の欠陥3件と重大深刻度の認証バイパスを含む、StoreOnceのディスクベースのバックアップおよび重複排除ソリューションにおける8件の脆弱性にパッチを適用していた。
HPEは2024年に301億ドルの売上高を報告しており、世界で61,000人超の従業員を擁する。同社は、フォーチュン500企業の90%を含む世界55,000超の組織にサービスと製品を提供している。
