Агентство з кібербезпеки та захисту інфраструктури США (CISA) офіційно підтвердило, що критична вразливість у програмному забезпеченні HPE OneView з максимальною оцінкою небезпеки вже активно використовується в реальних атаках. Уразливість дозволяє неавтентифікованим зловмисникам виконувати довільний код на сервері та повністю компрометувати систему управління інфраструктурою.
Вразливість відстежується під ідентифікатором CVE-2025-37164 і зачіпає всі версії HPE OneView до 11.00 включно. Вона дозволяє здійснювати віддалене виконання коду (RCE) без будь-якої автентифікації через низькоскладні атаки ін’єкції коду. Проблему виявив дослідник з Вʼєтнаму Нгуєн Куок Кхань, після чого HPE випустила патчі в середині грудня 2025 року.
CISA внесла CVE-2025-37164 до свого каталогу вразливостей, що експлуатуються “в дикій природі”, та зобов’язала федеральні агентства США усунути проблему до 28 січня 2026 року відповідно до директиви BOD 22-01. Хоча вимога формально стосується лише державного сектору, агентство наполегливо рекомендує всім організаціям негайно оновити системи.
HPE OneView — це централізована платформа управління серверами, сховищами та мережевою інфраструктурою, яка широко використовується в корпоративних і державних середовищах. Компрометація такого інструменту відкриває зловмиснику доступ до всієї інфраструктури організації. Раніше HPE вже виправляла критичні RCE-уразливості та проблеми з жорстко закодованими обліковими даними в інших продуктах.
Активна експлуатація CVE-2025-37164 підтверджує, що системи управління інфраструктурою залишаються однією з найпривабливіших цілей для атак. Відсутність будь-яких тимчасових заходів захисту означає лише одне: оновлення до HPE OneView 11.00 або новішої версії є критично необхідним і не може бути відкладене.
