TokyoBlackHatNews

hackread.com 4分で読了

CISA、実際に悪用されているHPE OneViewの欠陥に対し緊急パッチ適用を要請

オフィスでサーバーやネットワークの管理にHewlett Packard Enterprise(HPE)OneViewを使用している場合、ただちにソフトウェアのバージョンを確認する必要があります。ログインやパスワードなしでハッカーがシステムを掌握できてしまう重大なセキュリティ欠陥が発見されました。

状況は深刻で、米政府が介入し、各機関に対して月末までにシステムを更新する厳格な期限を設けました。この問題は、既知の悪用されている脆弱性(KEV)カタログにも正式に追加されています。周知のとおり、CISAが欠陥をこのリストに載せるのは、誰もが直ちに行動すべきだという合図です。

問題点:鍵のかかっていない扉

この欠陥は、ベトナムのセキュリティ専門家Nguyen Quoc Khanh氏によって発見され、HPEに報告されました。CVE-2025-37164として追跡され、CVSSスコアは満点の10.0(可能な限り最高の深刻度)に割り当てられています。基本的にはコードインジェクションの問題です。簡単に言えば、ハッカーがソフトウェアをだまして、自分たちの悪意ある命令を実行させられるということです。

Rapid7のチームによる調査で、この問題が「ID Pools」と呼ばれる機能の中に潜んでいることが明らかになりました。調査によれば、REST APIエンドポイントとして知られる特定の通信経路が、パスワードなしで開放されたままになっていました。

この入口は認証を必要としないため、攻撃者は簡単なリクエストを送るだけでシステムを完全に制御できます。HPEは、この「脆弱性が悪用される可能性があり、リモートの未認証ユーザーが」重大な被害を引き起こし得ると警告しています。

最もリスクが高いのは?

Rapid7の研究者は、この欠陥が11.00より古いすべてのバージョンに存在する一方で、製品によって影響の度合いが異なるようだと指摘しました。具体的には、パッチ未適用の「HPE OneView for HPE Synergy」はすべて脆弱である可能性が高いとしています。仮想マシン利用者については、6.xが主な標的になっているようです。

参考までに、安全を保つための回避策や調整可能な設定はありません。解決策は完全なアップデートのみです。HPEは必要な修正を12月中旬に公開しており、すべてのユーザーに対し、直ちにOneView 11.00以降へ移行するよう強く求めています。

攻撃のパターン

脅威はこれだけではありません。CISA当局者は、ハッカーがMicrosoft Office PowerPointのはるかに古い欠陥(CVE-2009-0556)を使ってネットワークに侵入する行為も依然として続いていると指摘しました。CISAによれば、こうした種類の穴は、組織が古いソフトウェアの更新を忘れたり、何年も前に最初に悪用された「レガシー」ファイルを使い続けたりすることをハッカーが知っているため、「頻繁な攻撃ベクター」になります。

政府は修正を提案しているのではなく、拘束力のある運用指令22-01の下でそれを要求しています。サーバー管理ツールの最新のバグであれ、プレゼンアプリにある10年前の穴であれ、当局からのメッセージは明確です。パッチを当てなければ、いずれ誰かがそれを利用して侵入してきます。

専門家の見解

Hackread.comにコメントを寄せたBlack Duckのシニア・サイバーセキュリティ・ソリューション・アーキテクトであるChrissa Constantine氏は、この事例はセキュリティテストがいかに重要かを示す完璧な例だと説明しました。

Constantine氏は、「CVE‑2025‑37164のOneView脆弱性は、公開到達可能なREST APIエンドポイントを介して未認証のリモートコード実行(RCE)を可能にするため深刻です」と述べました。さらに、OneViewは環境全体の管理の中核であるため、「この脆弱性はアプリケーションを侵害するだけでなく、環境全体を危険にさらす」と警告しました。

Cequence Securityの最高情報セキュリティ責任者であるRandolph Barr氏は、企業ネットワーク内におけるソフトウェアの位置づけが、この状況を特に危険にしていると付け加えました。「OneViewは、あらゆるものを広く見渡せる集中管理レイヤーです」とBarr氏は述べています。「ハッカーがHPE OneViewのようなプラットフォームを侵害すると、単一のシステムへのアクセスを得るだけでなく、環境全体の中核業務にも侵入します。」

Barr氏は、企業はこれを通常の更新として扱うべきではないと助言しました。「緊急の運用計画上の懸念として扱ってください」と同氏は促しています。「迅速に動きつつも、基本を忘れないでください。導入状況を理解し、露出(影響範囲)を評価し、パッチ適用中は綿密に監視し、ロールバックが可能であることを確保してください。」

翻訳元: https://hackread.com/cisa-emergency-patching-exploit-hpe-oneview-flaw/

ソース: hackread.com
#CISA #CVE-2025-37164 #HPE OneView #REST API #サーバー管理・インフラ運用 #リモートコード実行(RCE) #既知の悪用脆弱性(KEV) #緊急パッチ #脆弱性管理・パッチ適用 #認証不要の脆弱性

関連記事

次のサイバーセキュリティの課題はAIエージェント認証である可能性がある

ハッカーがフィッシングメールでGlobal Groupランサムウェアをオフライン配信

サイバー攻撃が欧州委員会職員のモバイルシステムを直撃