CVE-2025-37164: aktywnie wykorzystywana luka RCE (CVSS 10) w HPE OneView trafia do KEV CISA - Security Bez Tabu

CVE-2025-37164: aktywnie wykorzystywana luka RCE (CVSS 10) w HPE OneView trafia do KEV CISA

Wprowadzenie do problemu / definicja luki

CVE-2025-37164 to krytyczna podatność typu code injection prowadząca do zdalnego wykonania kodu (RCE) w HPE OneView – platformie do centralnego zarządzania infrastrukturą (serwery, storage, sieć). Kluczowy problem: atak może być przeprowadzony bez uwierzytelnienia, a więc z perspektywy obrony jest to scenariusz „high impact / low effort”.

Na początku stycznia 2026 r. luka została oznaczona jako aktywnie wykorzystywana w atakach oraz powiązana z wymaganiami „Known Exploited Vulnerabilities” (KEV).

W skrócie

  • Co? Niezautoryzowane RCE w HPE OneView (CVE-2025-37164) przez mechanizm code injection.
  • Kogo dotyczy? W praktyce wszystkie wydania przed 11.00 (w danych NVD: zakres wersji 5.20–10.20).
  • Status zagrożenia: CISA/KEV wskazuje na dowody aktywnej eksploatacji; termin działań (dla FCEB) wskazano na 28 stycznia 2026.
  • Co robić? Priorytetowo upgrade do 11.0+ albo zastosowanie dostarczonych hotfixów/łatek; brak sensownych obejść „konfiguracyjnych” zastępujących aktualizację.

Kontekst / historia / powiązania

HPE OneView działa jak uprzywilejowana warstwa zarządzania (control plane) – często głęboko w sieci, z szerokimi uprawnieniami do zarządzania firmware, profilami serwerów i automatyzacją. Dlatego pojedyncze RCE w takim komponencie ma „promień rażenia” większy niż typowa podatność w aplikacji biznesowej.

W połowie grudnia 2025 r. pojawiły się poprawki i komunikacja producenta, a 7 stycznia 2026 r. luka została odnotowana jako KEV (z oznaczeniem „exploited in the wild” w praktyce operacyjnej CISA).

Analiza techniczna / szczegóły luki

Z perspektywy technicznej jest to problem sklasyfikowany jako CWE-94 (Improper Control of Generation of Code – Code Injection).

Istotny detal dla obrońców: według analizy Rapid7, wektor ataku wiąże się z osiągalnym bez uwierzytelnienia endpointem REST:

  • /rest/id-pools/executeCommand – potencjalny punkt wejścia umożliwiający wykonanie poleceń i finalnie RCE.

Rapid7 wskazuje też, że vendorowy hotfix wygląda jak reguła na warstwie HTTP, która blokuje dostęp do konkretnego endpointu – co jest ważne w ocenie ryzyka (jeśli ktoś polega wyłącznie na „filtrach” na brzegu, a nie aktualizuje appliance).

Ocena CVSS: w NVD widać rozjazd między oceną CNA (HPE) i NVD: 10.0 (HPE) vs 9.8 (NVD), ale w praktyce oba wyniki oznaczają „patch natychmiast”.

Praktyczne konsekwencje / ryzyko

Jeśli OneView zostanie przejęty, konsekwencje wykraczają poza „zwykłe RCE na serwerze”:

  • Przejęcie płaszczyzny zarządzania: atakujący może uzyskać wpływ na konfiguracje i cykl życia infrastruktury (w tym elementy trudne do wykrycia na poziomie OS).
  • Ryzyko masowej eskalacji: OneView bywa „centralnym mózgiem” dla wielu zasobów – kompromitacja jednego komponentu może oznaczać kompromitację wielu.
  • Realne wykorzystanie w atakach: CISA/KEV + doniesienia branżowe wskazują, że to nie jest już ryzyko teoretyczne.

Rekomendacje operacyjne / co zrobić teraz

Priorytet potraktuj jak P0 / incident-prep (zwłaszcza jeśli OneView jest osiągalny z sieci o niższym poziomie zaufania).

1) Patch/upgrade (najważniejsze)

  • Zaktualizuj OneView do 11.0 lub nowszej lub zastosuj dostarczone hotfixy zgodnie z zaleceniami.
  • Załóż, że „wkrótce” ≠ „wystarczająco szybko” – luka jest oznaczona jako aktywnie eksploatowana.

2) Ogranicz powierzchnię ataku (równolegle, nie zamiast patcha)

  • Zablokuj dostęp do OneView z Internetu (jeśli kiedykolwiek był wystawiony).
  • Wymuś dostęp wyłącznie przez sieć administracyjną/VPN, z allowlistą źródeł.
  • Dodaj reguły detekcyjne na ruch do /rest/id-pools/executeCommand (WAF/proxy/IDS) – to nie jest „remedium”, ale może pomóc w wykryciu prób.

3) Threat hunting i kontrola zmian

  • Przejrzyj logi reverse proxy / load balancer / firewall pod kątem nietypowych żądań do OneView, szczególnie do ww. endpointu.
  • Skontroluj ostatnie zmiany w OneView: nowe konta, tokeny/API, modyfikacje profili serwerów, zadania automatyzacji.
  • Rotuj wrażliwe poświadczenia, jeśli istnieje podejrzenie dostępu (hasła serwisowe, integracje, konta uprzywilejowane powiązane z zarządzaniem).

4) Ramy zgodności i terminy

  • Jeśli podlegasz reżimowi podobnemu do KEV/BOD (lub mapujesz się na te priorytety), potraktuj 28 stycznia 2026 jako twardy deadline na usunięcie ryzyka.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

CVE-2025-37164 jest groźna z tego samego powodu, co krytyczne podatności w innych „platformach zarządzania” (np. systemy orkiestracji, panele kontrolne, control plane dla wirtualizacji):

  • uprzywilejowane pozycjonowanie w sieci,
  • duża koncentracja uprawnień,
  • oraz częsta praktyka traktowania tych systemów jako „zaufanych” i słabiej monitorowanych.

Różnica praktyczna: tu mówimy o komponencie, który może wpływać także na warstwę infrastruktury (profile sprzętowe/zarządzanie), a nie tylko na pojedynczy host.

Podsumowanie / kluczowe wnioski

  • CVE-2025-37164 to krytyczne, niezautoryzowane RCE w HPE OneView, powiązane z code injection (CWE-94).
  • CISA/KEV sygnalizuje aktywną eksploatację i wymusza pilność działań (deadline 2026-01-28 w KEV).
  • Najskuteczniejsza obrona to natychmiastowy upgrade/hotfix oraz szybkie ograniczenie ekspozycji OneView i monitoring prób dostępu do podejrzanych endpointów.

Źródła / bibliografia

  1. BleepingComputer – informacja o aktywnym wykorzystaniu i zaleceniach dot. aktualizacji (BleepingComputer)
  2. NVD (NIST) – wpis CVE, metryki, CWE, dane o KEV i termin 2026-01-28 (NVD)
  3. Rapid7 – analiza techniczna, wskazanie endpointu i charakter hotfixa (Rapid7)