PR

HPE OneView最大深刻度RCE脆弱性CVE-2025-37164の緊急対処

Security

Source:https://www.bleepingcomputer.com/news/security/hpe-warns-of-maximum-severity-rce-flaw-in-oneview-software/

🛡 概要

Hewlett Packard Enterpriseの統合インフラ管理ソフト「HPE OneView」に、未認証で悪用可能なリモートコード実行(RCE)の脆弱性(CVE-2025-37164)が報告・修正されました。影響範囲はv11.00未満の全バージョンで、攻撃難易度は低く、コードインジェクションにより任意コードが実行される恐れがあります。HPEは本件を最大深刻度(Critical)と評価し、既知の回避策はなく、速やかなアップグレードまたはホットフィックス適用が推奨されています。

OneViewはサーバー、ストレージ、ネットワークを一元管理する要となるため、侵害時の影響は広範に及ぶ可能性があります。現時点で本脆弱性の悪用有無はHPEから確認済み情報がありませんが、予防的なパッチ適用が最優先です。

🔍 技術詳細

本脆弱性は、OneViewのWeb UIまたはAPIに対する入力処理の不備を突くコードインジェクションに起因し、未認証の攻撃者でも低複雑度のリクエストで任意コード実行に至る可能性があります。対象はv11.00より前の全バージョンで、仮想アプライアンスやHPE Synergy環境を含む導入形態に影響し得ます。HPEは修正をv11.00以降に反映しており、v5.20〜v10.20の環境についてはセキュリティホットフィックスでの緩和が提供されています。なお、このホットフィックスは「v6.60以降からv7.00.00へのアップグレード後」や「HPE Synergy Composerの再イメージ後」に再適用が必要とされています。また、仮想アプライアンス用とSynergy用でダウンロードが分かれているため、環境に適したパッケージを選択する必要があります。現時点でベンダが提示する既知のワークアラウンドはなく、運用上の緩和(アクセス制御や公開範囲の縮小、WAFでの一般的なインジェクション対策)だけでは根本リスクを解消できません。したがって、製品のアップグレードまたは該当ホットフィックスの適用が唯一の確実な対処となります。

⚠ 影響

攻撃者がOneView上でコード実行に成功すると、当該アプライアンスの権限範囲で動作するプロセスの悪用、設定情報へのアクセス、管理下リソースへの不正操作に繋がる恐れがあります。OneViewはデータセンターの中核であるため、横移動や認証情報窃取など二次被害のリスクも高く、可用性・機密性・完全性の三要素に深刻な影響が及び得ます。

深刻度: 最大(Critical)。CVSSの数値スコアは公表情報に基づき断定できないため、本稿では記載しません。

🛠 対策

  • パッチ適用: 可能な限り早急にOneView v11.00以降へアップグレード。
  • ホットフィックス: v5.20〜v10.20は提供ホットフィックスを適用。v6.60以降からv7.00.00へのアップグレード後、またはSynergy Composer再イメージ後は再適用を忘れない。
  • 公開面の縮小: OneView管理面はインターネット非公開を徹底。必要最小限の管理セグメントからのみ到達可能に。
  • WAF/リバプロ: 一般的なインジェクション検知・ブロックを有効化し、特異なペイロードや長大なパラメータを監視。
  • 認証強化: 管理アクセスの多要素認証、強固な認可、不要アカウントやAPIキーの棚卸と無効化。
  • バックアップ/ロールバック計画: 変更前後のコンフィグバックアップ、メンテナンスウィンドウの確保、検証環境での事前テスト。

📌 SOC視点

  • 露出確認: 攻撃面(外部公開、VPN越し到達、管理ジャンプサーバ経由)の棚卸。インターネット公開が判明した場合は即時遮断。
  • ログ監視: OneViewのアクセスログ・監査ログ、リバースプロキシ/WAF/ロードバランサのログで、異常な未認証POST/PUT、長大ヘッダ、メタキャラクタ(;、&&、|、$() など)を伴うリクエストを相関。
  • ネットワーク挙動: OneViewアプライアンスからの不審な外向き通信、DNSクエリの急増、未知ホストへの接続をNDRで検知。
  • ホスト観測: アプライアンスでの予期しないプロセス生成、権限昇格エラー、クラッシュや高負荷のスパイクを監視。
  • ハンティング: 脆弱バージョン識別、直近30日でのHTTP 500/400の急増、未知のAPIエンドポイント叩きの時系列相関。

📈 MITRE ATT&CK

  • Initial Access: Exploit Public-Facing Application(T1190)— 公開/到達可能なOneViewのWeb UIやAPIに対する未認証悪用。
  • Execution: Command and Scripting Interpreter(T1059)— コードインジェクションの結果としてコマンド実行に至る可能性。

🏢 組織規模別助言

小規模(〜50名): 単一アプライアンスに依存しがち。即時アップグレード、公開遮断、バックアップと復元手順の動作確認を優先。外部パートナー支援の活用を検討。

中規模(50〜500名): 複数サイト・混在バージョンの管理が課題。資産台帳とバージョン差分の可視化、メンテナンス計画の一元管理、リバプロ/WAFの一時強化、変更後の稼働監視を徹底。

大規模(500名〜): 変更加速のためのCAB簡素化、段階的ロールアウト(パイロット→波及)、ゼロトラストに基づく管理面セグメンテーション、攻撃シミュレーションとIRプレイブック更新を同時進行。

🔎 類似事例

  • VMware vCenter Serverの未認証RCE(CVE-2021-21972)— 管理プレーンのRCEで広範な影響。
  • F5 BIG-IPの未認証RCE(CVE-2022-1388)— 管理/API面の入力不備悪用。
  • Citrix ADC/NetScaler GatewayのRCE(CVE-2023-3519)— アプライアンス型製品のクリティカル欠陥。
  • HPE StoreOnceにおけるクリティカル修正(2024年発表)およびAruba Instant Onのハードコード資格情報問題(2024年発表)— 管理面の保護重要性を再確認させる事例。

🧭 次の一手

  1. 資産棚卸: 自社環境のOneViewバージョン、露出状況、依存関係を即時確認。
  2. 是正: v11.00以降へアップグレード、またはv5.20〜v10.20に適切なホットフィックスを適用。
  3. 再適用点検: v6.60以降→v7.00.00アップグレード後、Synergy Composer再イメージ後のホットフィックス再適用を実施。
  4. 検証と監視: 変更後の健全性テスト、ログ・NDRの強化監視、異常兆候の早期検知。
  5. 恒久対策: 管理面のゼロトラスト化、WAFシグネチャ最適化、脆弱性管理とパッチSLAの見直し。