CISAは、現在悪用されている脆弱性のリストに2件のセキュリティホールを追加し、攻撃者がHPEのOneView管理ソフトウェアにおける最大深刻度のバグと、何年も前から存在するMicrosoft Officeの欠陥を悪用していると警告した。
CISAのKnown Exploited Vulnerabilities(KEV)カタログの最新更新では、HPE OneViewのコードインジェクション脆弱性であるCVE-2025-37164と、15年以上潜伏してきたPowerPointのコードインジェクションバグであるCVE-2009-0556が警告対象として挙げられている。
CVE-2025-37164はCVSSスコアが満点の10.0で、HPE OneViewに影響する。HPE OneViewは、サーバー、ストレージ、ネットワーク機器を中央コンソールから管理するためのソフトウェアだ。12月18日のアドバイザリでHPEは、この欠陥が悪用されるとコードの注入と実行が可能になり、影響を受ける環境を完全に制御できる可能性があると述べたが、当時、攻撃がすでに進行中かどうかについては言及しなかった。
CISAがこの欠陥を「実際に悪用されている」カタログに追加した判断は、詳細は乏しいものの、状況が現在は変わったことを示唆している。HPEは、攻撃者が顧客環境で観測されているか、どれほどの顧客が露出している可能性があるか、悪用の結果としてデータが持ち出されたかどうかについてのThe Registerからの質問に回答しなかった。
しかしセキュリティ企業は以前から、このバグが長く机上のものにとどまる可能性は低いと警告していた。HPEの開示後、Rapid7が概念実証(PoC)エクスプロイトを公開し、防御側はこの問題を侵害前提(assumed-breach)シナリオとして扱うべきだと示唆した。eSentireは、動作するエクスプロイトコードが入手可能になったことで、攻撃者が「興味本位」から「侵害」へ移るための障壁が大幅に下がったと指摘した。
OneViewの問題と並んで、CISAはCVE-2009-0556も警告対象として挙げた。これはMicrosoft OfficeのPowerPointにおけるコードインジェクション脆弱性で、CVSSスケールで8.8と評価されている。このバグは、ユーザーが細工されたPowerPointファイルを開いた際にメモリ破損が発生し、リモート攻撃者が任意のコードを実行できるようになるもので、Microsoftが2009年に確認している。MicrosoftはMS09-017の一部として何年も前にこの問題を修正したが、KEVカタログに掲載されたことは、未パッチまたはサポート対象外のシステムが依然として成功裏に狙われていることを示している。
この2つの脆弱性に共通点はほとんどない。片方は投票できるほど古く、とっくにパッチで根絶されているべきものだが、もう片方は現代のデータセンターの仕組みの奥深くに埋もれた、新しい企業向けの欠陥だ。攻撃者にとって、エクスプロイトがまだ機能するなら、古さは明らかに致命的な障害にはならない。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/08/cisa_oneview_powerpoint_bugs/
