Эксперт по кибербезопасности назвал «серьезной» уязвимость с максимальным уровнем критичности, позволяющую удаленно выполнять код в программном обеспечении HPE OneView для управления сетями и системами, и призвал к немедленному устранению этой проблемы.
«Производители обычно преуменьшают степень опасности уязвимости, — говорит Кертис Дьюкс, исполнительный вице-президент по лучшим практикам безопасности в Центре интернет-безопасности, — но HPE не стала этого делать — это десятка по шкале серьезности».
Он добавил, что уязвимость может быть использована удаленно неаутентифицированным пользователем и затрагивает все последние версии программного обеспечения. Кроме того, OneView является центральным инструментом управления ИТ-инфраструктурой в организациях.
«По этим причинам исправление должно быть применено немедленно, — заявил Дьюкс. — Злоумышленники, государственные структуры и криминальные группировки знают об этом окне возможностей и, вероятно, уже работают над эксплойтом».
В своем официальном уведомлении HPE сообщает, что уязвимость, CVE-2025-37164, затрагивает все версии с 5.20 по 10.20. Она устраняется путем установки экстренного исправления безопасности, которое необходимо повторно применить после обновления устройства с версии HPE OneView 6.60.xx до 7.00.00, а также после любой переустановки HPE Synergy Composer.
HPE предлагает отдельные экстренные исправления для виртуального устройства HPE OneView и HPE Synergy Composer.
В уведомлении также добавляется, что любые сторонние исправления безопасности, устанавливаемые на системы, использующие программные продукты HPE, должны применяться в соответствии с политикой управления исправлениями заказчика.
Представитель HPE, отвечая на просьбу прокомментировать ситуацию, заявил, что компании нечего добавить к своему официальному уведомлению, кроме как настоятельно рекомендовать администраторам как можно скорее загрузить и установить исправления.
Джек Бикер, директор отдела исследований уязвимостей в Action1, отметил, что, поскольку данная уязвимость может быть использована без аутентификации или какого-либо взаимодействия с пользователем, это «чрезвычайно серьезная проблема безопасности. Доступных обходных путей нет, поэтому исправление следует применить немедленно. До установки исправления ограничьте сетевой доступ к интерфейсу управления OneView только доверенными административными сетями».
HPE описывает OneView как решение, которое упрощает управление жизненным циклом инфраструктуры, включая вычислительные ресурсы, хранилища и сети, посредством унифицированного API. Оно позволяет администраторам создавать каталог шаблонов инфраструктуры, оптимизированных для рабочих нагрузок, чтобы более общий ИТ-персонал мог быстро и надежно выделять ресурсы. Эти шаблоны могут быстро развертывать физические, виртуальные и контейнеризованные системы, настраивая параметры BIOS, локальную конфигурацию RAID, базовую версию прошивки, общие хранилища и многое другое. HPE заявляет, что программно-определенный интеллект позволяет ИТ-отделам запускать несколько приложений одновременно с помощью повторяемых шаблонов, которые обеспечивают высокую надежность, согласованность и контроль. Производитель также утверждает, что встроенная автоматизация ускоряет развертывание и снижает операционные расходы.
Последняя крупная уязвимость в OneView была обнаружена в июне: CVE-2025-37101, проблема локального повышения привилегий, связанная непосредственно с OneView для VMware vCenter. В случае эксплуатации злоумышленник с правами только для чтения мог повысить свои привилегии до уровня администратора.
