HPE OneViewの脆弱性がCISAにより警告
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、HPE OneViewの最大深刻度の脆弱性が攻撃で積極的に悪用されていることを指摘しました。HPEのOneViewインフラ管理ソフトウェアは、IT管理者がストレージ、サーバー、ネットワークデバイスの管理を集中管理インターフェースから自動化するのに役立ちます。
脆弱性の詳細:CVE-2025-37164
このCVE-2025-37164として追跡されるクリティカルなセキュリティ脆弱性は、ベトナムのセキュリティ研究者Nguyen Quoc Khanh氏によってHPEに報告され、HPEは12月中旬にセキュリティパッチをリリースしました。
CVE-2025-37164は、バージョンv11.00より前にリリースされたすべてのOneViewバージョンに影響を与えます。この脆弱性は、認証されていない攻撃者によって、低複雑度のコードインジェクション攻撃を通じて、パッチが適用されていないシステム上でリモートコード実行(RCE)を可能にするものです。
HPEは12月16日に「ヒューレット・パッカード・エンタープライズ OneViewソフトウェアに潜在的なセキュリティ脆弱性が確認されました。この脆弱性は、認証されていないリモートユーザーがリモートコード実行を実行することを可能にする可能性があります」と警告しました。
推奨される対策とCISAの指示
CVE-2025-37164に対する回避策や軽減策はないため、HPEは顧客に対し、できるだけ早くOneViewバージョン11.00以降(HPEのソフトウェアセンターから入手可能)にアップグレードするよう助言しています。
CISAは、この脆弱性を実世界で悪用された脆弱性のカタログに追加し、連邦民間執行機関(FCEB)に対し、2021年11月に発行された拘束力のある運用指令(BOD)22-01によって義務付けられている通り、1月28日までにシステムを保護するよう3週間の猶予を与えました。
BOD 22-01は連邦機関のみを対象としていますが、CISAは民間セクターを含むすべての組織に対し、この積極的に悪用されている脆弱性からデバイスを保護するために、できるだけ早くパッチを適用するよう奨励しています。「ベンダーの指示に従って軽減策を適用するか、クラウドサービスについては適用されるBOD 22-01ガイダンスに従うか、軽減策が利用できない場合は製品の使用を中止してください」とCISAは水曜日に警告しました。「これらの種類の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃経路であり、連邦政府の企業に重大なリスクをもたらします」とも付け加えました。
HPEの過去のセキュリティ問題
HPEは7月にも、Aruba Instant Onアクセスポイントにハードコードされた資格情報があり、攻撃者が標準のデバイス認証を回避できる可能性があると警告していました。その1ヶ月前には、StoreOnceディスクベースバックアップおよび重複排除ソリューションの8つの脆弱性(リモートコード実行の欠陥3つとクリティカルな認証バイパス1つを含む)にパッチを適用しています。
HPEは2024年に301億ドルの収益を報告し、世界中に61,000人以上の従業員を擁しています。同社は世界中で55,000以上の組織にサービスと製品を提供しており、その中にはFortune 500企業の90%が含まれています。