HPE łata krytyczną lukę RCE w OneView. Co muszą zrobić administratorzy już dziś?

Wprowadzenie do problemu / definicja luki

Hewlett Packard Enterprise (HPE) opublikowało poprawki dla krytycznej luki zdalnego wykonania kodu (RCE) w oprogramowaniu HPE OneView – centralnej platformie do zarządzania infrastrukturą (serwery, pamięci, sieć). Luka otrzymała identyfikator CVE-2025-37164 i ocenę maksymalną CVSS 10.0 (bez uwierzytelnienia, atak zdalny, pełny wpływ na poufność/spójność/dostępność).

W skrócie

• Produkt: HPE OneView (wielowydaniowe wersje poniżej 11.0).
• CVE: CVE-2025-37164, CVSS: 10.0 (maks.).
• Wektor: zdalny, bez uwierzytelnienia, prowadzi do RCE.
• Status: poprawki dostępne; brak obejść/mitigacji poza aktualizacją.
• Działanie: natychmiastowa aktualizacja do najnowszej wersji/instalacja hotfixów HPE.

Kontekst / historia / powiązania

HPE OneView bywa krytycznym elementem w środowiskach data center i chmur prywatnych. W 2025 r. HPE publikowało już kilka istotnych biuletynów bezpieczeństwa (m.in. StoreOnce oraz komponenty OneView), jednak CVE-2025-37164 jest pierwszym przypadkiem w tym roku z maksymalnym scoringiem dla tego produktu. O luce poinformowały równolegle renomowane serwisy i dostawcy usług bezpieczeństwa.

Analiza techniczna / szczegóły luki

• Charakter podatności: błąd umożliwiający zdalne wykonanie dowolnego kodu w kontekście usługi aplikacyjnej OneView. NVD klasyfikuje go w kategorii CWE-94 (Improper Control of Code Generation).
• Zakres wersji: zgodnie z analizą branżową, narażone są wydania < 11.0, w tym linia 5.20–10.20, o ile nie zastosowano dedykowanych hotfixów (dla wirtualnego appliance i HPE Synergy). Dokładny zakres i linki do łatek znajdują się w biuletynie HPE.
• Warunki ataku: atak zdalny, bez interakcji użytkownika i bez uwierzytelnienia; skutkuje pełnym kompromisem aplikacji zarządzającej, a w konsekwencji potencjalnie całej infrastruktury podłączonej do OneView.

Praktyczne konsekwencje / ryzyko

Udane wykorzystanie CVE-2025-37164 może pozwolić napastnikowi na:

• przejęcie panelu zarządzania OneView;
• eskalację do operacji na serwerach, zasobach pamięci i sieciach zarządzanych przez OneView;
• pełny dostęp do danych konfiguracyjnych oraz możliwość wstrzyknięcia złośliwych obrazów/konfiguracji w skali całego klastra.
  Ze względu na brak wymogu uwierzytelnienia, luka jest wysoce robakowalna w środowiskach o odsłoniętym interfejsie.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowa aktualizacja do HPE OneView 11.0 (lub nowszej, jeżeli dostępna) albo instalacja najnowszych hotfixów dla posiadanej gałęzi (appliance / HPE Synergy) zgodnie z biuletynem HPE.
2. Brak obejść: HPE i niezależne źródła wskazują, iż nie ma skutecznych mitigacji poza patchowaniem.
3. Higiena ekspozycji: natychmiast ogranicz dostęp do interfejsów OneView (segmentacja, ACL, VPN, IP allowlist), zablokuj dostęp z sieci publicznej.
4. Detekcja/IR:
   • przegląd logów OneView i systemów zależnych pod kątem nietypowych żądań/akcji administracyjnych;
   • w razie opóźnionej aktualizacji – rozważ reset zaufania (zmiana poświadczeń, regeneracja certyfikatów, weryfikacja integralności obrazów firmware).
5. Skany aktywów: użyj skanera zasobów/VM do identyfikacji hostów z wersjami < 11.0 i automatyzuj remediację (np. playbook Ansible). Wskazówki dot. detekcji wersji i zgodności publikują również firmy security.

Różnice / porównania z innymi przypadkami

W 2025 r. HPE łatało także inne krytyczne błędy (np. w StoreOnce), ale nie wszystkie miały wektor PR:N/UI:N/AV:N prowadzący do natychmiastowego RCE bez uwierzytelnienia. CVE-2025-37164 jest przez to priorytetem 1 – porównawczo bardziej ryzykownym niż luki wymagające uwierzytelnienia czy interakcji.

Podsumowanie / najważniejsze wnioski

• CVE-2025-37164 (CVSS 10.0) w HPE OneView to krytyczna podatność umożliwiająca zdalne RCE bez logowania.
• Jedyną skuteczną obroną jest aktualizacja/hotfix – działaj natychmiast w środowiskach produkcyjnych.
• Ogranicz ekspozycję interfejsów zarządzających i przeprowadź przegląd logów/konfiguracji pod kątem nadużyć.

Źródła / bibliografia

• SecurityWeek: „HPE Patches Critical Flaw in IT Infrastructure Management Software” (18 grudnia 2025). (SecurityWeek)
• HPE Security Bulletin: „HPE OneView Software – Remote Code Execution (CVE-2025-37164)” (grudzień 2025). (support.hpe.com)
• NVD (NIST): karta CVE-2025-37164, CVSS, CWE-94. (nvd.nist.gov)
• Rapid7: „CVE-2025-37164 – unauthenticated RCE affecting HPE OneView” (grudzień 2025). (Rapid7)
• BleepingComputer: „HPE warns of maximum severity RCE flaw in OneView software” (grudzień 2025). (BleepingComputer)