نقص بحرانی در HPE OneView با امتیاز CVSS 10.0 امکان اجرای کد از راه دور بدون احراز هویت را فراهم می‌کند!

آسیب‌پذیری CVE-2025-37164 در نرم‌افزار HPE OneView یک نقص با شدت حداکثری (CVSS 10.0) است که امکان اجرای کد از راه دور بدون نیاز به احراز هویت را برای مهاجم فراهم می‌کند. با توجه به جایگاه OneView به‌عنوان Control Plane زیرساخت سازمانی، این نقص صرفاً یک RCE ساده نیست، بلکه یک Single Point of Catastrophic Failure محسوب می‌شود.

چرا این آسیب‌پذیری حیاتی است؟

HPE OneView به‌صورت متمرکز مدیریت سرورها، استوریج، شبکه و Synergy Composer را بر عهده دارد. در بسیاری از سازمان‌ها، این سامانه:

• دسترسی سطح بالا (Administrative / Root-level)

• اتصال مستقیم به Hardware Management Interface

• دسترسی به Credentialها و API Tokenها
  را در اختیار دارد.

در نتیجه، اکسپلویت موفق از این نقص می‌تواند منجر به:

• تصاحب کامل لایه مدیریت زیرساخت

• Pivot به سایر اجزای شبکه سازمانی

• استقرار Backdoor پایدار در سطح زیرساخت

• تخریب یا دستکاری سرویس‌های حیاتی (Availability & Integrity)
  شود.

بردار حمله و سطح تهدید HPE OneView

طبق اطلاعات منتشرشده، حمله:

• Unauthenticated

• Remote

• بدون نیاز به تعامل کاربر
  انجام می‌شود؛ ترکیبی که در مدل‌های Threat Modeling، بالاترین ریسک را ایجاد می‌کند.

هرچند تاکنون سوءاستفاده فعال گزارش نشده، اما تجربه نشان داده که CVSS 10.0 + نرم‌افزار مدیریت سازمانی معمولاً ظرف مدت کوتاهی وارد چرخه Exploitation می‌شود، به‌ویژه در محیط‌هایی که OneView از اینترنت یا شبکه‌های نیمه‌قابل‌اعتماد در دسترس است.

نسخه‌های آسیب‌پذیر و وضعیت پچ

• تمامی نسخه‌های پیش از 11.00 آسیب‌پذیر هستند

• Hotfix برای نسخه‌های 5.20 تا 10.20 منتشر شده

• در سناریوهای ارتقا یا Reimage، اعمال مجدد Hotfix الزامی است

این موضوع از منظر عملیاتی مهم است؛ زیرا بسیاری از سازمان‌ها تصور می‌کنند با یک‌بار Patch، ریسک حذف شده، در حالی که در این مورد Rollback ناخواسته Patch محتمل است.

ارزیابی ریسک عملیاتی (Operational Risk)

در محیط‌های Enterprise، این آسیب‌پذیری می‌تواند:

• به‌عنوان Initial Access Vector

• یا Privilege Escalation Gateway
  در حملات هدفمند (Targeted Attacks) استفاده شود.

از دید تیم‌های Blue Team، این نقص در دسته High-Impact / Low-Complexity قرار می‌گیرد؛ یعنی:

احتمال Exploit بالا + هزینه دفاع پایین = الزام اقدام فوری

توصیه‌های Vulnerbyte

1. Patch فوری به نسخه 11.00 یا اعمال Hotfix رسمی

2. بررسی مجدد وضعیت Hotfix پس از هر Upgrade یا Reimage

3. محدودسازی دسترسی شبکه‌ای به OneView (Network Segmentation)

4. مانیتورینگ لاگ‌ها برای رفتارهای غیرعادی در API و Management Interface

5. فرض Compromise در صورت مشاهده رفتار مشکوک و اجرای Incident Response

جمع‌بندی تحلیلی

CVE-2025-37164 یک نقص «عادی» نیست؛ این آسیب‌پذیری در قلب مدیریت زیرساخت قرار دارد و در صورت بی‌توجهی، می‌تواند به از دست رفتن کنترل کامل محیط سازمانی منجر شود. حتی در نبود گزارش Exploit فعال، ریسک استراتژیک آن ایجاب می‌کند که در اولویت بالای Patch و پایش امنیتی قرار گیرد.

منابع: