慧与OneView遠程代碼執行高危漏洞（CVE‑2025‑37164）分析與防護

漏洞概覽

慧與（HPE）OneView管理軟體在 2025‑12‑17 公開披露一項 CVSS 10.0 的高危漏洞，編號 CVE‑2025‑37164。此漏洞允許未經身份驗證的攻擊者透過特制 HTTP 請求，在 OneView 服務執行任意代碼，直接取得管理介面的完整權限。原始報告指出，漏洞源於對特定輸入參數的缺陷處理，攻擊者僅需傳送構造好的 JSON 或 SOAP 消息即可完成注入。（來源：Anquanke，2025‑12‑17）

受影響範圍與風險評估

所有 11.0 之前的 OneView 版本
部署於數據中心、雲端平台或本地化環境的所有 HPE 伺服器、存儲與網路設備
潛在風險：
- 完整系統佔用，導致服務中斷
- 資料外洩或篡改
- 進一步橫向移動至其他基礎設施

攻擊鏈分析

📂 收合（點我收起）

1. 攻擊者發送精心構造的 HTTP POST /rest/v1/someEndpoint
2. OneView 服務未對 payload 做完整驗證，將其傳遞至內部腳本引擎
3. 腳本引擎執行 payload 中的命令，取得 root 權限
4. 攻擊者可執行任意指令、安裝後門或修改設定

此流程不需要任何登錄憑證，亦不觸發傳統身份驗證機制，故防禦難度極高。（來源：Anquanke，2025‑12‑17）

MITRE ATT&CK 對應

T1190 – Exploit Public‑Facing Application（初始訪問）
T1059 – Command and Scripting Interpreter（執行命令）
T1068 – Exploitation for Privilege Escalation（提權）

防護建議

1. 立即升級或打補丁

HPE 已於 2025‑12‑18 發佈 11.0 版本，修補 CVE‑2025‑37164。
請在 https://support.hpe.com 下載並安裝最新更新。
若無法即時升級，請暫時停用受影響的 REST API。

2. 網路隔離與流量過濾

將 OneView 伺服器放置於內部專用網段，僅允許管理網路 IP 存取。
使用入侵偵測系統（IPS）或 Web 應用防火牆（WAF）封鎖已知攻擊模式。
設定速率限制，阻斷暴力注入嘗試。

3. 強化身份驗證與授權

啟用多因素認證（MFA）作為管理介面登入門檻。
採用角色基礎存取控制（RBAC），最小權限原則。
定期審核使用者帳號與權限，及時撤銷不必要的管理權。

4. 監控與日誌分析

啟用 OneView 內建的安全日誌，將關鍵事件送往 SIEM 系統。
監控異常 HTTP 請求模式（如長度異常、重複的 JSON 結構）。
設定告警規則，當偵測到可疑執行行為時立即通知安全團隊。

5. 漏洞掃描與滲透測試

使用業界標準漏洞掃描工具（如 Nessus、OpenVAS）定期掃描 OneView 服務。
在升級後進行滲透測試，驗證漏洞已完全修補。
若發現其他未列出的輸入驗證缺陷，請即時回報 HPE。

結論

CVE‑2025‑37164 的 CVSS 10.0 及無身份驗證的 RCE 特性，使其成為數據中心管理環境的重大威脅。HPE OneView 作為多數企業的核心運維平台，一旦被攻陷，後果可能從單一服務中斷到整個 IT 基礎設施被完全控制。透過即時升級、網路隔離、強化身份驗證、持續監控與漏洞掃描，可有效降低被利用的風險。任何部署 OneView 的組織，應將此漏洞列入緊急修補清單，並在升級後進行全面驗證。