米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、最大深刻度のHPE OneViewの脆弱性が攻撃で積極的に悪用されているとして警告を発した。
HPEのインフラ管理ソフトウェアOneViewは、IT管理者がストレージ、サーバー、およびネットワークデバイスの管理を一元化されたインターフェイスから自動化するのに役立ちます。
CVE-2025-37164として追跡されているこの重大なセキュリティ欠陥は、ベトナムのセキュリティ研究者Nguyen Quoc Khanh(brocked200)によってHPEに報告され、HPEは12月中旬にセキュリティパッチをリリースした。
CVE-2025-37164は、v11.00以前にリリースされたすべてのOneViewのバージョンに影響し、未パッチのシステム上でリモートでコードを実行させる低複雑度のコードインジェクション攻撃により、未認証の脅威行為者に悪用される可能性があります。
「Hewlett Packard Enterprise OneView ソフトウェアに潜在的なセキュリティ脆弱性が確認されました。この脆弱性が悪用されると、リモートの認証されていないユーザーがリモートでコードを実行される可能性があります」とHPEは12月16日に警告している。
CVE-2025-37164に対する回避策や緩和策はないため、HPEは顧客に対し、できるだけ早くOneViewのバージョン11.00以降(HPEのソフトウェアセンターから入手可能)にアップグレードするよう勧告している。
CISAはまた、この脆弱性を悪用されている脆弱性のカタログに追加し、2021年11月に発行された拘束的運用指令(BOD)22-01で義務付けられている通り、1月28日までにシステムを保護するよう連邦民間行政機関(FCEB)に3週間の猶予を与えている。
BOD 22-01は連邦政府機関のみを対象としているにもかかわらず、CISAは民間部門を含むすべての組織に対して、この積極的に悪用される欠陥に対してできるだけ早くデバイスにパッチを適用するよう奨励した。
「ベンダーの指示に従って緩和策を適用するか、クラウドサービスに適用されるBOD 22-01ガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください」と、CISAは水曜日に警告している。
「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁に攻撃経路となるものであり、連邦政府企業にとって重大なリスクとなる」とCISAは付け加えた。
HPEは7月にも、Aruba Instant On Access Pointにハードコードされた認証情報が含まれており、攻撃者が標準的なデバイス認証をバイパスできる可能性があると警告している。その1カ月前には、StoreOnceディスクベース・バックアップおよび重複排除ソリューションの脆弱性8件(リモート・コード実行の欠陥3件とクリティカル・セキュリティー認証バイパスを含む)にパッチを適用した。
HPEの2024年の売上高は301億ドルで、全世界の従業員数は61,000人を超える。HPEは、フォーチュン500企業の90%を含む、世界中の55,000以上の組織にサービスと製品を提供しています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
2026年CISO予算ベンチマーク
予算の季節です!300人以上のCISOやセキュリティ・リーダーが、来年に向けてどのような計画、支出、優先順位付けを行っているかを発表しました。本レポートでは、2026年に向けた戦略のベンチマーク、新たなトレンドの特定、優先事項の比較を可能にするために、彼らの洞察をまとめています。
トップリーダーがどのように投資を測定可能なインパクトに変えているかをご覧ください。
Comments