サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、ヒューレット・パッカード・エンタープライズの統合ITインフラ管理ソリューションであるHPE OneViewに存在する重大な脆弱性が、現在進行形で悪用されていることについて、正式な勧告を発出しました。
サーバー、ストレージアレイ、ネットワーク機器を集中管理するために設計されたOneViewは、現代のデータセンターの中核を担っています。特定された欠陥はCVE-2025-37164として指定され、CVSS尺度で最大の深刻度評価が付与されており、現在、攻撃者が実際の侵入で悪用しています。
この脆弱性は、ベトナムの研究者Nguyen Quoc Khanh(brocked200)によって発見されました。HPEは12月中旬に修正パッチを公開したものの、CISAは、相当数のシステムが依然として露出したままで、積極的に標的にされていることを確認しています。
CVE-2025-37164は、バージョン11.00まで(11.00を含む)のOneViewのすべてのリリースに影響します。これにより、認証されていないリモート攻撃者がホストサーバー上で任意のコードを実行できるようになります。この攻撃は高度な技術をほとんど必要とせず、管理インターフェースを通じたコードインジェクションを可能にします。
12月16日、HPEは警告し、この欠陥により資格情報を必要とせずにリモートコード実行が可能になると述べました。重要な点として、このリスクを軽減するための一時的な回避策は存在しません。唯一有効な防御策は、公式のHPEサポートセンターから入手できるOneViewをバージョン11.00以上にアップグレードすることです。
これらの悪用が確認されたことを受け、CISAは当該脆弱性を既知の悪用済み脆弱性(KEV)カタログに追加しました。拘束力のある運用指令(BOD)22-01に基づき、米国連邦政府の文民行政機関は3週間以内、具体的には1月28日までにこの欠陥を修正することが義務付けられています。この指令は正式には政府機関に適用されるものの、CISAは民間部門のすべての組織に対しても、この更新を直ちに最優先で実施するよう強く促しています。
CISAは、この種の脆弱性がより広範なシステム侵害の機会的な侵入口として利用されることが多く、大規模インフラにとって存亡に関わる脅威となり得ると強調しています。直ちにパッチ適用が不可能な場合、同庁は、メーカーのクラウド固有のセキュリティガイダンスを厳格に順守するか、製品を一時的に停止(廃止)することを推奨しています。
この事案は、ここ数か月のHPEにとって、また一つ憂慮すべき節目となりました。7月には、同社はAruba Instant Onアクセスポイントにハードコードされた資格情報が存在し、認証回避が可能であることを開示しました。その1か月前には、HPEはStoreOnceバックアップシステムにおける8件の脆弱性に対処しており、その中にはリモートコード実行を可能にする複数の欠陥や、重大なセキュリティ回避につながる問題が含まれていました。
2024年、ヒューレット・パッカード・エンタープライズは301億ドルという驚異的な売上高を報告しました。6万1,000人を超える世界規模の従業員に支えられ、そのソリューションは世界中の5万5,000以上の組織で導入されており、フォーチュン500の約90%も含まれます。
翻訳元: https://meterpreter.org/infrastructure-at-risk-cisa-flags-max-severity-rce-in-hpe-oneview/
