2分で読めます
出典:Kristoffer Tripplaar(Alamy Stock Photo経由)
サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)によると、HPEのソフトウェア定義型管理プラットフォームであるOneViewの最大深刻度の脆弱性が攻撃を受けている。
CVSSスコア10を受けたCVE-2025-37164は、水曜日にCISAの既知の悪用済み脆弱性(KEV)カタログに追加された。このCVSSスコアを持つ脆弱性は、リモートコード実行(RCE)の脆弱性で、HPEが12月17日に初めて公表し、ITインフラ管理ソフトウェアのバージョン5.20から10.20までの全バージョン向けにホットフィックスがリリースされた。
公表当時、専門家は、OneViewが顧客ネットワーク内の特権的なコントロールプレーンで動作するため、CVE-2025-37164には即時対応が必要だと警告していた。OneViewは、企業環境内のサーバー、ストレージシステム、ネットワーク機器、ファームウェア、その他の資産に対して管理者レベルの制御を提供する。
「この脆弱性に最大深刻度が割り当てられた理由は、そのソフトウェアが実際に何をしているかにあります」と、Rapid7の脆弱性インテリジェンス担当ディレクターであるDouglas McKee氏はDark Readingに語った。
脅威アクターがOneViewでRCEを達成すれば、組織のインフラに対する集中管理権限を得ることになり、壊滅的な結果につながり得る。「それは典型的なWebアプリのバグとはまったく異なる影響範囲です」とMcKee氏は言う。
CVE-2025-37164">CVE-2025-37164の悪用活動は不透明
CVE-2025-37164の悪用活動を誰が観測または報告したのかは不明だ。HPEのアドバイザリには、この欠陥が積極的に悪用されているかどうかは記載されていない。
「HPEはコミュニティメンバーからこの潜在的な脆弱性について通知を受け、12月17日にホットフィックスを迅速にリリースしました」とHPEの広報担当者はDark Readingに語った。「当社は、脆弱性が悪用されているという顧客からの報告は受けていませんが、OneViewユーザーはできるだけ早くパッチを適用することが重要です。」
Rapid7も、OneViewの脆弱性について悪用活動は観測していないと述べた。
KEVカタログの掲載以外では悪用活動が文書化されていないとしても、顧客はできるだけ早くOneViewプラットフォームを更新すべきだ。Rapid7は先月のブログ投稿で、CVE-2025-37164の真の懸念は、攻撃者に与える露出と、武器化され得る信頼の前提にあると述べた。
「管理プラットフォームは、『信頼されるべきもの』として、広範な権限を持ち、監視が最小限のままネットワークの奥深くに配置されることが多い」と、ブログ投稿は述べている。「その層で未認証のRCEが現れた場合、防御側は侵害済み前提のシナリオとして扱い、直ちにパッチ適用を最優先し、アクセス経路とセグメンテーションを見直す必要がある。」
翻訳元: https://www.darkreading.com/vulnerabilities-threats/maximum-severity-hpe-oneview-flaw-exploited
