CVE-2025-37164
Hewlett Packard Enterprise (HPE) OneView
2026-01-07
Hewlett Packard Enterprise (HPE) OneView contains a code injection vulnerability that allows a remote unauthenticated user to perform remote code execution.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2025-37164 в Hewlett Packard Enterprise (HPE) OneView представляет собой критическую ошибку внедрения кода (Code Injection). Из-за недостаточной или некорректной санитизации входных данных в веб-интерфейсе или REST API, удаленный злоумышленник может передать специально сформированную полезную нагрузку. Поскольку для эксплуатации не требуется предварительная аутентификация, любой атакующий, имеющий сетевой доступ к интерфейсу управления OneView, может выполнить произвольный код на уровне базовой операционной системы устройства (RCE). Это ведет к полной компрометации системы управления инфраструктурой и создает критический риск горизонтального перемещения (lateral movement) по всем управляемым серверам, сетевым коммутаторам и системам хранения данных.
Как исправить
Единственным гарантированным способом устранения данной уязвимости является обновление программного обеспечения (апплайнса) HPE OneView до версии, содержащей официальный патч от производителя. Перед началом обновления обязательно создайте полную резервную копию (Backup) текущего состояния HPE OneView через интерфейс управления. Загрузите актуальный пакет обновления с официального портала HPE Support Center, соответствующий вашей текущей ветке релизов. Перейдите в раздел Settings -> Appliance -> Update в веб-интерфейсе OneView, загрузите файл обновления и запустите процесс. Дождитесь завершения установки и автоматической перезагрузки устройства. Для проверки текущей версии системы через REST API (чтобы убедиться, что патч применен) используйте следующую команду:
curl -k -X GET https://<ONEVIEW_IP>/rest/appliance/appliance-version -H "Accept: application/json"
Временные меры
Если немедленная установка патча невозможна в связи с бизнес-процессами, необходимо срочно минимизировать поверхность атаки с помощью компенсирующих мер. Убедитесь, что интерфейс управления HPE OneView находится в строго изолированном сегменте сети (Out-of-Band Management), недоступном из общих корпоративных сетей и интернета. Настройте жесткие списки контроля доступа (ACL) на сетевом оборудовании или межсетевых экранах (Firewall), разрешив доступ к порту 443 (HTTPS) исключительно с доверенных IP-адресов рабочих станций администраторов. Пример логики ограничения доступа на уровне межсетевого экрана (для маршрутизатора, стоящего перед OneView):
iptables -A FORWARD -p tcp --dport 443 -d <ONEVIEW_IP> -s <TRUSTED_ADMIN_IP> -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d <ONEVIEW_IP> -j DROP
Внедрите правила на Web Application Firewall (WAF) для блокировки HTTP-запросов к OneView, содержащих типичные паттерны инъекций команд (например, использование обратных кавычек, символов |, ;, $()).
Настройте пересылку логов (Syslog) в SIEM-систему и активируйте алерты на любые попытки несанкционированного доступа или аномальные ошибки веб-сервера OneView.