Hewlett Packard Enterprise (HPE) призвала клиентов немедленно установить исправления для своего программного обеспечения OneView, признав наличие критической уязвимости, позволяющей злоумышленникам выполнять произвольный код на платформе управления без необходимости аутентификации.
Уязвимость, обозначенная как CVE-2025-37164 и получившая максимальную оценку 10.0 по шкале CVSS, затрагивает версии HPE OneView от 5.20 до 10.20. Она позволяет удаленно выполнять код без аутентификации, согласно уведомлению, опубликованному компанией на этой неделе. OneView является центральным элементом многих корпоративных сред, управляя серверами, прошивками, системами хранения данных и всем жизненным циклом инфраструктуры.
“В программном обеспечении Hewlett Packard Enterprise OneView была выявлена потенциальная уязвимость безопасности”, — говорится в уведомлении HPE. “Эта уязвимость может быть использована удаленным пользователем без аутентификации для выполнения удаленного кода”.
HPE сообщила, что об уязвимости сообщил исследователь в области безопасности Нгуен Куок Кхань. Компания настоятельно рекомендует клиентам либо обновить OneView до версии 11.0, либо немедленно применить экстренный патч. Отдельные исправления доступны для виртуального устройства OneView и для развертываний HPE Synergy.
Компания Rapid7, проанализировавшая уязвимость и патч от поставщика, сообщила изданию The Register, что реальная опасность заключается не только в выполнении кода, но и в месте его выполнения. OneView обычно развертывается глубоко внутри сети с широкими привилегиями и минимальным контролем, поскольку считается доверенной системой. Удаленное выполнение кода без аутентификации на этом уровне не просто открывает дверь — оно вручает ключи от всего здания.
Другими словами, компрометация OneView может дать злоумышленнику централизованный контроль над большими частями инфраструктуры в масштабе, а не доступ к отдельному скомпрометированному устройству. Это делает его гораздо более привлекательной целью, чем обычная уязвимость на периметральном сервере.
Первоначальный анализ Rapid7 предполагает, что уязвимость связана с конкретным конечным узлом REST API, предоставляемым устройством. Исправление блокирует доступ к этому узлу на уровне веб-сервера, и компания выразила высокую степень уверенности в том, что именно этот узел является основным вектором атаки.
HPE не сообщила, используется ли данная уязвимость в настоящее время, но история показывает, что подобные ошибки редко остаются теоретическими надолго. Высокопривилегированные платформы управления часто становятся целью программ-вымогателей и других злоумышленников, ищущих обходные пути для преодоления периметральной защиты.
Автор – Carly Page
