В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в системе управления ИТ-инфраструктурой HPE OneView. Согласно записи BDU:2025-16117, проблема, получившая идентификатор CVE-2025-37164, связана с неверным управлением генерацией кода (CWE-94) и может позволить злоумышленнику удаленно выполнить произвольный код на целевой системе. Уровень опасности классифицируется как критический с максимальной оценкой 10.0 по шкалам CVSS 2.0 и 3.1.
Детали уязвимости
Уязвимость затрагивает HPE OneView версий до 10.20 включительно. Данное программное обеспечение относится к средствам автоматизированных систем управления технологическими процессами (АСУ ТП) и программно-аппаратным комплексам, что потенциально повышает значимость угрозы для промышленных и корпоративных сред. Производитель, компания HP Inc., уже подтвердил наличие уязвимости и выпустил обновления. Следовательно, на текущий момент проблема считается устраненной.
Эксплуатация уязвимости осуществляется через механизм инъекции. Другими словами, атакующий может внедрить и выполнить произвольный вредоносный код, отправив специально сформированные данные уязвимому приложению. Поскольку для успешной атаки не требуются аутентификация или взаимодействие с пользователем, угроза становится особенно серьезной. Более того, максимальные оценки по конфиденциальности, целостности и доступности в векторах CVSS указывают на возможность полного компрометации системы.
Основным способом устранения риска является установка актуальных обновлений от производителя. Однако в рекомендациях BDU содержится важная оговорка. В связи с международными санкциями организациям в России рекомендуется проводить тщательную оценку всех сопутствующих рисков перед установкой обновлений из внешних источников. Данный пункт подчеркивает сложность современного ландшафта кибербезопасности, где технические меры должны согласовываться с внешнеполитическими реалиями.
Параллельно эксперты предлагают ряд компенсирующих мер для организаций, которые не могут немедленно обновить ПО. Прежде всего, необходимо строго ограничить удаленный доступ к интерфейсам HPE OneView с помощью межсетевых экранов. Кроме того, эффективной практикой является организация доступа по принципу "белого списка", когда разрешены соединения только с доверенных IP-адресов. Также рекомендуется минимизировать или полностью исключить доступ к системам управления из интернета.
Для обнаружения попыток эксплуатации следует задействовать системы обнаружения и предотвращения вторжений (IDS/IPS). Эти инструменты могут помочь выявить аномальную активность, связанную с внедрением кода. Дополнительно, для безопасного удаленного администрирования стоит использовать виртуальные частные сети (VPN). В целом, комплексный подход, сочетающий сегментацию сети, мониторинг и строгий контроль доступа, значительно снижает поверхность атаки.
На текущий момент наличие публичных эксплойтов (exploit) для данной уязвимости уточняется. Тем не менее, критический рейтинг и простота эксплуатации делают ее привлекательной мишенью для киберпреступников, включая группы продвинутой постоянной угрозы (APT). Следовательно, задержки с применением заплаток или компенсирующих мер могут привести к серьезным инцидентам, таким как утечка данных или полная остановка работы управляемой инфраструктуры.
Важно отметить, что уязвимости класса "неверное управление генерацией кода" часто возникают из-за недостаточной валидации пользовательского ввода. В результате приложение ошибочно интерпретирует данные как часть исполняемого кода. Подобные ошибки являются классическими, однако их появление в столь критичном программном обеспечении, как системы управления, вызывает серьезную озабоченность у специалистов по безопасности.
Таким образом, обнаруженная уязвимость в HPE OneView представляет собой существенную угрозу. Владельцам уязвимых версий необходимо безотлагательно оценить свою инфраструктуру и применить обновления после анализа рисков. Одновременно с этим следует реализовать многоуровневую защиту, чтобы минимизировать потенциальный ущерб даже в случае появления работающих эксплойтов. Регулярный аудит безопасности и своевременное обновление ПО остаются ключевыми элементами защиты от подобных критических уязвимостей.
Ссылки
- https://bdu.fstec.ru/vul/2025-16117
- https://www.cve.org/CVERecord?id=CVE-2025-37164
- https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04985en_us&docLocale=en_US#vulnerability-summary-1
