美國網路安全暨基礎設施安全局(CISA)於本週將 HPE OneView 一項 CVSS 10.0 滿分的重大漏洞列入已知遭利用漏洞清單(KEV),該漏洞允許攻擊者無需身分驗證即可遠端執行任意程式碼,影響範圍涵蓋 v11.00 以前所有版本。由於 OneView 為企業資料中心的核心管理平台,一旦遭入侵將使攻擊者取得伺服器、儲存與網路設備的集中控制權,專家呼籲企業應立即進行修補。
漏洞技術細節
該漏洞編號為 CVE-2025-37164,由越南資安研究員 Nguyen Quoc Khanh 發現並回報。根據 Rapid7 研究團隊的分析,問題源自 OneView 的 ID Pools 功能中一個未受保護的 REST API 端點缺乏身分驗證機制,攻擊者可透過低複雜度的程式碼注入攻擊,在未經授權的情況下於目標系統執行任意程式碼。
HPE 於 12 月 17 日發布資安公告並釋出修補程式,公告中指出:「此漏洞可能被利用,允許遠端未經驗證的使用者執行遠端程式碼。」值得注意的是,
該漏洞沒有任何暫時性緩解措施或替代方案,唯一的解決途徑是升級至 v11.00 或更新版本。
為何被評為最高嚴重等級
資安專家指出,CVE-2025-37164 之所以被評為 CVSS 10.0 滿分,關鍵在於 OneView 在企業環境中的特殊角色。Rapid7 漏洞情報總監 Douglas McKee 表示:「這個漏洞被評為最高嚴重等級,原因在於這套軟體的實際功能。」
OneView 是 HPE 的軟體定義管理平台,可集中控管企業資料中心內的伺服器、儲存系統、網路設備與韌體。一旦攻擊者成功利用該漏洞取得遠端程式碼執行權限,即等同掌握組織整體基礎架構的控制權。McKee 強調:「這與一般網頁應用程式漏洞的影響範圍截然不同。」
Rapid7 在其技術分析文章中進一步說明:「管理平台通常部署於網路深層,擁有廣泛權限且監控較少,因為它們『理應』是受信任的。當此類層級出現未經驗證的遠端程式碼執行漏洞時,防禦者應將其視為假設已遭入侵的情境,立即優先修補,並檢視存取路徑與網路分段。」
攻擊時間軸與利用門檻降低
從時間軸來看,HPE 於 12 月 17 日發布修補程式,Rapid7 隨後公開技術分析細節。12 月 19 日,針對該漏洞的 Metasploit 攻擊模組即已釋出,顯著降低了攻擊門檻,使技術能力較低的攻擊者也能發動攻擊。
儘管 HPE 表示尚未收到客戶回報遭利用的案例,CISA 仍於本週三將其列入 KEV 清單,顯示已有實際攻擊活動發生。根據 2021 年發布的約束性作業指令(BOD)22-01,聯邦行政部門機構須於 1 月 28 日前完成修補。
企業應採取的行動
CISA 呼籲所有組織,包括民間企業,應儘速採取以下措施:
- 立即確認環境中是否部署 HPE OneView,並檢視版本是否低於 v11.00
- 透過 HPE Software Center 下載並升級至 v11.00 或更新版本
- 檢視 OneView 的網路存取路徑與分段配置
- 加強對管理平台的存取監控與日誌審查
Black Duck 資深資安解決方案架構師 Chrissa Constantine 指出:「這個漏洞不只是危及單一應用程式,而是讓整個環境暴露於風險之中。」Cequence Security 資安長 Randolph Barr 則建議:「應將此事視為緊急管理議題,迅速行動的同時也要確保了解部署狀況、評估曝險程度,並在修補過程中保持密切監控。」