HPE OneViewに重大な脆弱性
Hewlett Packard Enterprise (HPE) は、同社のインフラ管理ソフトウェアであるHPE OneViewに、最大深刻度のリモートコード実行(RCE)脆弱性(CVE-2025-37164)が存在することを発表し、修正パッチを公開しました。この脆弱性は、認証されていない攻撃者が低い複雑性でコードインジェクション攻撃を実行し、パッチ未適用のシステム上でリモートから任意のコードを実行することを可能にするものです。
HPE OneViewは、IT管理者がサーバー、ストレージ、ネットワークデバイスの管理を集中化されたインターフェースから効率化し、自動化するためのソフトウェアです。今回の脆弱性は、ベトナムのセキュリティ研究者であるNguyen Quoc Khanh氏(brocked200)によって報告されました。影響を受けるのはv11.00より前の全てのOneViewバージョンです。
HPEは火曜日のアドバイザリで、「Hewlett Packard Enterprise OneView Softwareにおいて潜在的なセキュリティ脆弱性が確認されました。この脆弱性は、リモートの認証されていないユーザーがリモートコード実行を実行できる形で悪用される可能性があります」と警告しています。
対策と推奨事項
CVE-2025-37164に対する回避策や緩和策は存在せず、管理者はできるだけ早く脆弱なシステムにパッチを適用することが強く推奨されています。HPEは、この脆弱性がすでに攻撃に利用されているかについては確認していませんが、影響を受ける組織はHPE Software Centerを通じて入手可能なOneViewバージョン11.00以降にアップグレードすることで、脆弱性に対処できます。
OneViewバージョン5.20から10.20を実行しているデバイスでは、セキュリティホットフィックスを展開することで脆弱性を修正できます。ただし、バージョン6.60以降からバージョン7.00.00へのアップグレード後、またはHPE Synergy Composerの再イメージング操作後には、このホットフィックスを再適用する必要があります。
HPE製品における過去のセキュリティ問題
HPEは過去にも複数のセキュリティ問題に対処してきました。6月には、ディスクベースのバックアップおよび重複排除ソリューションであるStoreOnceにおいて、重大な認証バイパスと3つのリモートコード実行の脆弱性を含む8つの脆弱性を修正しました。また、その1か月後の7月には、Aruba Instant Onアクセスポイントにハードコードされた認証情報に関する警告を発しており、これにより攻撃者が標準のデバイス認証を迂回してウェブインターフェースにアクセスできる可能性がありました。
HPEの事業規模
HPEは世界中に61,000人以上の従業員を擁し、2024年には301億ドルの収益を報告しています。同社の製品とサービスは、Fortune 500企業の90%を含む世界中の55,000以上の組織で利用されています。