Агентство по кибербезопасности и защите инфраструктуры (CISA) заявило об активной эксплуатации критической уязвимости удаленного выполнения кода (RCE) в платформе управления HPE OneView. Уязвимость, отслеживаемая как CVE-2025-37164, была добавлена в Каталог известных эксплуатируемых уязвимостей (KEV) CISA всего через несколько дней после того, как компания обнародовала информацию о ней и выпустила исправление.
«Уязвимость OneView CVE-2025-37164 является критической, поскольку она позволяет неаутентифицированное удаленное выполнение кода через общедоступную конечную точку REST API», — отмечает Крисса Константин, старший архитектор решений по кибербезопасности в Black Duck. «Учитывая центральную роль OneView в управлении серверами, хранилищами данных и сетями, эта уязвимость компрометирует не просто приложение — она ставит под угрозу всю среду. Именно поэтому проактивная оценка безопасности API является обязательной для любой системы, предоставляющей интерфейсы управления или автоматизации».
HPE уже выпустила уведомления и патч для устранения проблемы, однако у предприятий остается крайне мало времени на реагирование, прежде чем компрометация уровня управления обернется полным контролем над всей инфраструктурой.
Последствия в масштабах инфраструктуры
CVE-2025-37164 вызвана некорректной обработкой входных данных в общедоступном REST API, используемом HPE OneView, что позволяет неаутентифицированным злоумышленникам выполнять произвольные команды в базовой системе. Уязвимость имеет наивысший балл CVSS — 10.0, что отражает как отсутствие необходимости в аутентификации, так и прямой путь к удаленному выполнению кода, что значительно повышает вероятность оппортунистического сканирования и быстрого использования уязвимости.
HPE OneView выступает в роли единой панели управления для серверов, систем хранения данных и сетевого оборудования, часто интегрируясь с системами идентификации, платформами для обработки заявок и рабочими процессами автоматизации. Неаутентифицированное RCE на этом уровне дает злоумышленникам прямой доступ к ядру операционной деятельности предприятия.
«Позиция HPW OneView в структуре компании и высокий балл опасности уязвимости делают ситуацию крайне неблагоприятной», — отмечает Рэндольф Барр, директор по информационной безопасности в Cequence Security. «Когда хакеры взламывают такую платформу, как HPE OneView, они получают доступ не только к одной системе, но и проникают в ядро операций всей среды».
Не решение по принципу «установил и забыл»
Хотя включение в KEV CISA немедленно повысило приоритет устранения, предприятия не могут относиться к OneView как к рутинному обновлению конечных точек. Программное обеспечение плоскости управления часто развертывается локально (on-premises), иногда на физических серверах, и тесно связано с производственными рабочими процессами. Спешное исправление, которое нарушит мониторинг, аутентификацию или интеграции, может быть почти столь же опасным, как и сама уязвимость.
Барр предупредил, что организациям необходимо сначала понять, как именно развернут OneView — на физическом оборудовании, в виде виртуальной машины с поддержкой снапшотов или в кластерной конфигурации — прежде чем приступать к установке патча. Виртуализированные установки могут допускать более быстрые циклы установки исправлений и отката, в то время как устаревшие или крупные локальные развертывания требуют тщательной последовательности действий и наличия протестированных планов отката.
«Командам по безопасности следует одновременно собирать данные об угрозах и разрабатывать стратегии установки исправлений», — добавил он. «Это означает, что необходимо знать, как используется эксплойт, какие отрасли подвергаются целенаправленным атакам, сканируют ли злоумышленники уязвимые API в больших объемах, а также какие признаки или действия следует отслеживать в процессе установки патчей».
Хотя об эксплуатации в реальных условиях еще не сообщалось за пределами уведомления CISA KEV, вероятность ее высока, поскольку технические детали и модуль Metasploit были опубликованы вскоре после того, как HPE раскрыла информацию об уязвимости 18 декабря 2025 года.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 8/9
Bajan-score: 0.908305585
Автор – Shweta Sharma
