攻撃で悪用されている重大なHPE OneViewの脆弱性

米国のサイバーセキュリティ機関CISAは水曜日、Hewlett Packard Enterprise（HPE）のOneView製品に存在する重大度クリティカルの脆弱性が攻撃で悪用されていると警告した。

CVE-2025-37164（CVSSスコア10/10）として追跡されているこのセキュリティ欠陥は、2025年12月17日に、HPEがホットフィックスを公開したことで明らかになった。

HPEは、このバグの報告者としてNguyen Quoc Khanh氏の功績を認めたが、技術的な情報の共有は控えた。

「この脆弱性は悪用される可能性があり、リモートの未認証ユーザーがリモートコード実行を行えるようになる」とHPEは述べた。

サイバーセキュリティ企業Rapid7によると、この問題は認証なしで到達可能な特定のREST APIエンドポイントに影響している可能性が高いという。

水曜日、CISAはこの欠陥を既知の悪用された脆弱性（KEV）カタログに追加し、実際の環境で悪用されていると警告した。

「Hewlett Packard Enterprise OneViewにはコードインジェクションの脆弱性が含まれており、リモートの未認証ユーザーがリモートコード実行を行える」と同機関は指摘している。

CISAは、観測された攻撃に関する詳細を共有していない。

水曜日、同機関は2009年に公開されたMicrosoft Officeのコードインジェクション欠陥もKEVリストに追加した。

CVE-2009-0556として追跡されているこのバグは、10年以上前に中国のウイグル民族を標的としたスパイ活動キャンペーンで悪用された。

拘束力のある運用指令（BOD）22-01により、連邦機関は3週間以内に自組織の環境内にある脆弱なHPE OneViewおよびMicrosoft Officeのインスタンスを特定し、パッチを適用しなければならない。

BOD 22-01は連邦機関にのみ適用されるが、すべての組織に対して、CISAのKEVカタログを確認し、そこに含まれる脆弱性に対する緩和策およびパッチを適用することが推奨されている。