Hewlett Packard Enterprise оголосила про випуск оновлень безпеки для усунення критичної уразливості віддаленого виконання коду (RCE) у платформі керування інфраструктурою HPE OneView. Дефект отримав ідентифікатор CVE-2025-37164 та максимальну оцінку 10,0 за шкалою CVSS, що відносить його до найнебезпечніших класів вразливостей для корпоративних дата-центрів.
HPE OneView: чому уразливості в системах керування інфраструктурою такі критичні
HPE OneView — це платформа централізованого керування серверними ресурсами, системами зберігання даних і мережевою інфраструктурою. Через неї адміністратори реалізують автоматизоване розгортання, моніторинг, оновлення прошивок та конфігурацію обладнання у фізичних і гібридних середовищах.
Фактично, OneView є “точкою керування” для великої частини інфраструктури. Компрометація такого рішення відкриває зловмиснику можливість глибокого впливу на всі критичні компоненти середовища: від серверних профілів до мережевих політик і шаблонів розгортання. Тому будь-яка RCE-уразливість у подібних продуктах завжди розглядається як високоприоритетна.
Деталі CVE-2025-37164: RCE без аутентифікації
За інформацією HPE, уразливість CVE-2025-37164 впливає на усі версії OneView до 11.00 включно. Помилка дозволяє неавторизованому атакувальнику віддалено виконати довільний код на вразливому екземплярі OneView, отримуючи, по суті, повний контроль над системою керування.
Уразливість виявив дослідник з В’єтнаму, відомий під псевдонімом brocked200. Технічні деталі експлойта наразі не розкриваються, що є типовою практикою для критичних уразливостей до моменту масового розгортання патчів. Водночас, комбінація CVSS 10,0 і можливості експлуатації без логіну та пароля робить цю помилку особливо привабливою для атак навіть на ізольовані сегменти мережі керування.
Оновлення HPE OneView: які версії вважаються захищеними
HPE наголошує, що для CVE-2025-37164 не існує надійних обхідних рішень. Єдиним ефективним способом захисту є якнайшвидше оновлення до виправлених версій OneView. Рекомендований мінімум — перехід на версію 11.00 або новішу.
Особливу увагу варто звернути на інсталяції гілки 6.60.xx. Для них виробник вимагає проміжного оновлення до версії 7.00, а вже потім — встановлення актуальних патчів безпеки. Недотримання цієї послідовності може призвести до збоїв або некоректної роботи платформи після оновлення.
Окремо підкреслюється необхідність оновлення образів HPE Synergy Composer, які тісно інтегровані з OneView і використовують його функціональність. Якщо оновити лише основний екземпляр OneView, частина середовища може залишитися успадковано вразливою через застарілі образи Composer.
Можливі наслідки експлуатації RCE в OneView
Вдале використання CVE-2025-37164 дає зловмиснику можливість повністю скомпрометувати інфраструктуру, яка керується через OneView. Потенційні дії атакувальника можуть включати:
- зміну конфігурацій серверів і мережевого обладнання;
- переналаштування, відключення або знищення масивів зберігання даних;
- інтеграцію шкідливого коду в шаблони та образи для автоматизованого розгортання;
- створення стійкої присутності та подальший розвиток атаки всередині корпоративної мережі.
На практиці подібні компрометації платформ керування інфраструктурою часто стають стартовою точкою для масштабних інцидентів: від шифрувальних атак (ransomware) до цілеспрямованих операцій проти критично важливих бізнес-сервісів. Додаткову складність для виявлення створює те, що зловмисник використовує легітимні адміністративні функції для реалізації шкідливих дій.
Як знизити ризики при експлуатації HPE OneView та подібних систем
Мережева сегментація та контроль доступу
Платформи класу HPE OneView доцільно розміщувати в ізольованих сегментах з доступом лише з адміністративних робочих станцій через VPN або jump-сервери. Це зменшує площу атаки й ускладнює використання уразливості ззовні чи з боку зламаних користувацьких систем.
Зрілі процеси патч-менеджменту
Організаціям варто формалізувати управління оновленнями: вести інвентаризацію версій, тестувати патчі в пілотному середовищі, визначати жорсткі дедлайни для встановлення критичних оновлень. Для уразливостей рівня CVE-2025-37164 ключовим стає скорочення «вікна вразливості» між виходом патча та його впровадженням.
Моніторинг, логування та інтеграція із SIEM
Рекомендується налаштувати централізований збір логів від OneView, Synergy Composer та інших систем керування з подальшою передачею до SIEM-платформи. Аномалії — масові зміни конфігурацій, нетипові дії облікових записів, нестандартні API-запити — мають автоматично генерувати сповіщення для служби безпеки.
Хоча HPE наразі не повідомляє про підтверджені випадки експлуатації CVE-2025-37164 у реальних атаках, розраховувати на це як на фактор безпеки небезпечно. Критичні RCE-уразливості в широко розгорнутих платформах керування швидко потрапляють до арсеналу як кіберзлочинців, так і більш підготовлених атакувальників. Компаніям варто сприймати це повідомлення як прямий заклик до дії: негайно встановити оновлення HPE OneView та Synergy Composer, перевірити модель загроз для систем керування інфраструктурою й підсилити контроль доступу, моніторинг та процеси патч-менеджменту. Чим швидше буде закрито подібні «дірки» в контурах керування, тим нижчою буде ймовірність масштабного інциденту з фінансовими, операційними та репутаційними втратами.
