CISA紧急警告：HPE OneView高危漏洞正被积极利用

如果你所在机构使用惠普企业（HPE）的OneView来管理服务器和网络，你需要立即检查你的软件版本。目前已发现一个重大安全漏洞，黑客无需登录或密码即可控制系统。

情况十分严重，美国政府已介入，要求各机构在本月底前完成系统更新。该漏洞已被正式添加到其“已知被利用漏洞”目录中。众所周知，当CISA将一个漏洞列入此清单时，就意味着所有人都需要立即采取行动。

问题所在：一道未上锁的门

该漏洞由越南安全专家Nguyen Quoc Khanh发现并报告给HPE。漏洞编号为CVE-2025-37164，CVSS评分为满分10.0，属于最高严重级别。本质上，这是一个代码注入问题。简单来说，黑客可以欺骗软件运行他们自己的恶意指令。

Rapid7团队的调查发现，问题隐藏在一个名为“ID池”的功能中。他们的调查显示，一个特定的通信线路，即REST API端点，在没有密码保护的情况下被暴露。

由于这个“门”不需要身份验证，攻击者只需发送一个简单的请求即可完全控制系统。HPE警告称，“该漏洞可能被利用，允许远程未经身份验证的用户”造成严重损害。

谁面临最大风险？

Rapid7的研究人员指出，虽然该漏洞存在于所有低于11.00的版本中，但它似乎对某些产品的影响更大。具体来说，他们发现所有未打补丁的‘HPE OneView for HPE Synergy’版本都可能受到影响。对于使用虚拟机的用户，6.x版本似乎是主要攻击目标。

请注意，没有任何变通方法或可以调整的设置来确保安全。唯一的解决方案是完全更新。HPE在12月中旬发布了必要的修复程序，并敦促所有用户立即升级到OneView 11.00或更高版本。

攻击模式

这并非唯一的威胁。CISA官员指出，黑客们还在利用一个更古老的Microsoft Office PowerPoint漏洞（CVE-2009-0556）入侵网络。根据CISA的说法，这类漏洞是“常见的攻击途径”，因为黑客知道许多组织会忘记更新旧软件，或者继续使用多年前首次被利用的“遗留”文件。

政府不仅仅是建议修复；他们根据《约束性操作指令22-01》要求必须修复。无论是服务器管理工具中的全新漏洞，还是演示应用程序中已有十年之久的漏洞，当局的信息很明确：如果你不修补，最终会有其他人利用它入侵。

专家见解

Black Duck公司的高级网络安全解决方案架构师Chrissa Constantine向Hackread.com分享评论时解释道，这个案例完美地说明了安全测试为何如此关键。

“CVE‑2025‑37164 OneView漏洞非常严重，因为它允许通过可公开访问的REST API端点进行未经身份验证的远程代码执行，”Constantine指出。她警告说，由于OneView是管理整个环境的核心，“此漏洞不仅仅会危及单个应用程序，还会使整个环境面临风险。”

Cequence Security的首席信息安全官Randolph Barr补充道，该软件在公司网络中的地位使得情况尤其危险。“OneView是一个集中管理层面，为你提供全面的视图，”Barr表示。“当黑客攻破HPE OneView这样的平台时，他们不仅获得了对单个系统的访问权限，还侵入了整个环境的核心运营。”

Barr建议，公司不应将此视为一次标准的更新。“要将其视为一个紧急的管理计划问题，”他敦促道。“快速行动，但不要忘记基本原则。了解你的部署情况，评估你的暴露面，在修补过程中密切监控，并确保可以回滚。”