OneViewは、HPEが提供する統合インフラストラクチャ管理ソフトウェアです。
サーバ、ストレージ、ネットワークなどの物理インフラストラクチャ全体のライフサイクル管理(展開、プロビジョニング、更新、監視など)を自動化・簡素化し、単一のプラットフォームと統一されたAPIで管理可能にします。
「ソフトウェア デファインド インフラストラクチャ」を実現できるというものです。
こういった機構は意図動作する場合には大きな効果をもたらすことができますが、カバー範囲が広く権限も強い状態で利用されることが想定されます。
正しく運用されない場合、大きな脅威になることが懸念されます。
ある意味最小特権の考え方の逆のようなことになっているわけです。
今回、OneViewの脆弱性が確認されています。
内容を見てみましょう。
- CVE-2025-37164
CVSS V3のBase Scoreは、10.0です。
最大です。
この脆弱性が悪用されると、認証されていないリモートユーザがリモートコードを実行できる可能性があります。
そしてこの脆弱性には回避策や緩和策がありません。
対応できる方法は、問題修正の実施されたパッチを適用することのみです。
この脆弱性がすでに悪用されているかどうかの情報はまだ確認されていません。
そして影響範囲のバージョンの幅も広いです。
カレントはversion10系ですが、この脆弱性はHPE OneViewのversion11.00より前のすべてのバージョンのソフトウェアに影響します。
古い場合には途中のバージョンまで上げたうえでパッチを適用することになります。
年末が迫ってきています。
大型連休には大きなインシデントが発生することも考えられます。
運用のほころびが原因となってしまうかもしれません。
日々のパッチケイデンスの見直しの良いタイミングかもしれないですね。
HPESBGN04985 rev.2 – Hewlett Packard Enterprise OneView Software, Remote Code Execution
https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04985en_us
| この記事をシェア |
|
|---|
