Бубен больше не помогает?
Image

Мы вскрываем схемы, пока их прячут

Чат для тех, кто чинит сети головой и руками. Реальный опыт, а не магия.

CISA рвёт и мечет: HPE OneView ломают одной командой без логина — 90% крупнейших корпораций мира под ударом

CISA HPE OneView США Hewlett Packard brocked200 CVE-2025-37164
CISA рвёт и мечет: HPE OneView ломают одной командой без логина — 90% крупнейших корпораций мира под ударом
CISA HPE OneView США Hewlett Packard brocked200 CVE-2025-37164

Обходных путей нет, только патч…

image

Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило об активной эксплуатации критической уязвимости в HPE OneView — системе управления ИТ-инфраструктурой от Hewlett Packard Enterprise.

OneView используется для централизованного администрирования серверов, систем хранения и сетевого оборудования. Обнаруженная уязвимость с идентификатором CVE-2025-37164 получила максимальный уровень опасности по шкале CVSS и уже применяется злоумышленниками в реальных атаках.

Проблему выявил вьетнамский исследователь Нгуен Куок Хан (brocked200). Компания HPE выпустила исправления в середине декабря, однако, как теперь подтверждает CISA, часть систем до сих пор остаётся уязвимой и используется атакующими.

CVE-2025-37164 затрагивает все версии OneView до 11.00 включительно. Уязвимость позволяет удалённому злоумышленнику, не имеющему учётной записи, выполнить произвольный код на сервере. Атака не требует сложной подготовки и основана на внедрении кода через интерфейсы управления.

В HPE ещё 16 декабря предупреждали, что дефект даёт возможность удалённого выполнения кода без аутентификации. При этом никаких временных обходных мер для снижения риска не существует. Единственный способ защиты — обновление OneView до версии 11.00 или новее, доступной через официальный центр загрузок HPE.

После подтверждения фактов эксплуатации CISA внесло уязвимость в свой каталог активно используемых брешей. В соответствии с директивой BOD 22-01 федеральным гражданским ведомствам США предписано устранить её в течение 3 недель — до 28 января. Хотя формально требование распространяется только на госструктуры, агентство настоятельно рекомендует срочно установить обновления всем организациям, включая частный сектор.

В CISA подчёркивают, что подобные уязвимости регулярно становятся удобной точкой входа для атак и представляют серьёзную угрозу для крупных инфраструктур. Если обновление невозможно, ведомство советует либо строго следовать рекомендациям производителя для облачных сред, либо временно отказаться от использования продукта.

Это не 1-й тревожный эпизод для HPE за последнее время. В июле компания предупреждала о жёстко прописанных учётных данных в точках доступа Aruba Instant On, которые позволяли обходить аутентификацию. Месяцем ранее HPE закрыла сразу 8 уязвимостей в системе резервного копирования StoreOnce, включая несколько дефектов с возможностью удалённого выполнения кода и критический обход защиты.

Hewlett Packard Enterprise в 2024 году отчиталась о выручке в 30,1 млрд долларов. В компании работает более 61 тысячи сотрудников, а её решения используют свыше 55 тысяч организаций по всему миру, включая около 90 процентов компаний из списка Fortune 500.