Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) έχει επισημάνει μια ευπάθεια HPE OneView μέγιστης σοβαρότητας ως ενεργή εκμετάλλευση σε επιθέσεις.
Το λογισμικό διαχείρισης υποδομής OneView της HPE βοηθά τους διαχειριστές IT να αυτοματοποιήσουν τη διαχείριση του χώρου αποθήκευσης, των διακομιστών και των συσκευών δικτύωσης από μια κεντρική διεπαφή.
Παρακολούθηση ως CVE-2025-37164αυτό το κρίσιμο ελάττωμα ασφαλείας αναφέρθηκε από τον βιετναμέζο ερευνητή ασφάλειας Nguyen Quoc Khanh (brocked200) στην HPE, η οποία κυκλοφόρησε ενημερώσεις κώδικα ασφαλείας στα μέσα Δεκεμβρίου.
Το CVE-2025-37164 επηρεάζει όλες τις εκδόσεις του OneView που κυκλοφόρησαν πριν από την έκδοση 11.00 και μπορεί να αξιοποιηθεί από μη επαληθευμένους παράγοντες απειλών μέσω χαμηλής πολυπλοκότητας κωδικός-ένεση επιθέσεις για να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα σε μη επιδιορθωμένα συστήματα.
“Έχει εντοπιστεί μια πιθανή ευπάθεια ασφαλείας στο λογισμικό Hewlett Packard Enterprise OneView. Αυτή η ευπάθεια θα μπορούσε να γίνει αντικείμενο εκμετάλλευσης, επιτρέποντας σε έναν απομακρυσμένο χρήστη χωρίς έλεγχο ταυτότητας να εκτελέσει απομακρυσμένη εκτέλεση κώδικα.” προειδοποίησε η HPE στις 16 Δεκεμβρίου.
Δεν υπάρχουν εναλλακτικοί τρόποι αντιμετώπισης ή μετριασμούς για το CVE-2025-37164, επομένως η HPE συμβούλεψε τους πελάτες να κάνουν αναβάθμιση στην έκδοση OneView 11.00 ή μεταγενέστερη (διαθέσιμη μέσω του Κέντρου Λογισμικού της HPE) το συντομότερο δυνατό.
Η CISA έχει επίσης προσθέσει την ευπάθεια στον κατάλογο ελαττωμάτων της που εκμεταλλεύονται στην άγρια φύση, δίνοντας στις υπηρεσίες της Federal Civilian Executive Branch (FCEB) τρεις εβδομάδες για να ασφαλίσουν τα συστήματά τους έως τις 28 Ιανουαρίου, όπως ορίζεται από τη δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01 που εκδόθηκε τον Νοέμβριο του 2021.
Παρόλο που το BOD 22-01 στοχεύει μόνο ομοσπονδιακούς οργανισμούς, η CISA ενθάρρυνε όλους τους οργανισμούς, συμπεριλαμβανομένων εκείνων του ιδιωτικού τομέα, να επιδιορθώσουν τις συσκευές τους ενάντια σε αυτό το ελάττωμα που εκμεταλλεύεται ενεργά το συντομότερο δυνατό.
“Εφαρμόστε μέτρα μετριασμού ανά οδηγό προμηθευτή, ακολουθήστε τις ισχύουσες οδηγίες BOD 22-01 για υπηρεσίες cloud ή διακόψτε τη χρήση του προϊόντος εάν δεν υπάρχουν διαθέσιμα μέτρα μετριασμού.” προειδοποίησε η CISA την Τετάρτη.
“Αυτοί οι τύποι τρωτών σημείων είναι συχνοί φορείς επιθέσεων για κακόβουλους κυβερνοχώρους και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση.” πρόσθεσε.
Τον Ιούλιο, η HPE προειδοποίησε επίσης για σκληρά κωδικοποιημένα διαπιστευτήρια στα Aruba Instant On Access Points που θα μπορούσαν να επιτρέψουν στους εισβολείς να παρακάμψουν τον τυπικό έλεγχο ταυτότητας συσκευών. Ένα μήνα νωρίτερα, διόρθωσε οκτώ ευπάθειες στη λύση δημιουργίας αντιγράφων ασφαλείας και αφαίρεσης διπλών αντιγράφων που βασίζεται σε δίσκο StoreOnce, συμπεριλαμβανομένων τριών ελαττωμάτων απομακρυσμένης εκτέλεσης κώδικα και μιας παράκαμψης ελέγχου ταυτότητας κρίσιμης σοβαρότητας.
Η HPE έχει αναφέρει έσοδα 30,1 δισεκατομμυρίων δολαρίων το 2024 και έχει πάνω από 61.000 υπαλλήλους παγκοσμίως. Παρέχει υπηρεσίες και προϊόντα σε περισσότερους από 55.000 οργανισμούς παγκοσμίως, συμπεριλαμβανομένου του 90% των εταιρειών του Fortune 500.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
