HPE OneViewの認証不要RCE（CVE-2025-37164）—管理プレーン直撃、即時パッチ適用を

今日の深掘りポイント

• 管理プレーンに位置するHPE OneViewに認証不要のRCEが報告され、影響範囲は5.20〜10.20。推奨はOneView 11.0へのアップグレードまたは緊急ホットフィックスの適用です。
• 中央の管理APIを踏み台に、サーバープロファイルやBMC（例：iLO）設定、ファームウェア基線の改変など、データセンター全体の制御に波及しうるのが最大のリスクです。
• 露出資産が少なく見えても、管理ネットワーク内の「信頼境界」を一気に崩すタイプの脆弱性。ネットワーク分離とアクセス制御の見直しを即時の優先事項に据えるべきです。
• SOCはAPIアクセスの異常（不明なソースからのPOST、短時間の権限操作の集中、サーバープロファイル一括変更）を高感度で監視すべきです。
• 経営判断の観点では、管理プレーンのアーキテクチャ運用（露出・認証・証跡・特権管理）の恒常的な再設計が必要です。

はじめに

HPE OneViewに、認証なしでリモートコード実行を許す致命的な脆弱性（CVE-2025-37164）が公表され、HPEは速やかなアップグレード（11.0）またはホットフィックスの適用を顧客に呼びかけています。影響を受けるのは5.20〜10.20で、CVSSは最大評価です。本件は管理プレーン直撃であるため、個別サーバーの侵害とは桁違いの影響をもたらし得ます。公開情報によれば、特定のREST APIエンドポイントに関連し、誤用されると管理対象インフラ全体への中枢アクセスを許しかねない構造です。この分析では、限られた公開報道に基づく事実関係を整理し、脅威シナリオと現場で直ちに着手すべき施策を提示します。

深掘り詳細

事実関係（公開報道に基づく）

• 脆弱性はCVE-2025-37164として追跡され、認証なしでRCEが可能と報じられています。影響バージョンはOneView 5.20〜10.20で、対処としてOneView 11.0へのアップグレードまたは緊急ホットフィックスが案内されています。特定のREST APIエンドポイントの処理が問題の焦点とされています。The Registerの報道では、悪用時のインフラ全体への中央集権的な制御取得リスクに言及があります。
• OneViewはサーバー、ストレージ、ファームウェア、ライフサイクルの統合管理を担うコントロールプレーンであり、その権限は広範です。管理APIが侵害されると、サーバープロファイル適用、BMC連携設定、証明書や認証情報の配布・適用など、ラテラルムーブメントの起点になり得ます。これらは一般に管理ネットワーク内から行われるため、攻撃者が一度管理プレーンに入ると組織内での移動コストが極端に低くなります。

出典は公開報道の範囲に限定しています。公式アドバイザリや技術詳細は各自の検証のうえ、一次情報で最終判断することを強く推奨します。

編集部のインサイト（運用・アーキテクチャ的含意）

• 管理プレーン集中化の逆説: OneViewのような統合管理は運用効率を飛躍的に高める一方、単一点障害（SPOF）的なサイバーリスクを作ります。RCEが「認証不要」である点は、ゼロトラスト前提を崩す最悪パターンで、境界での強固な認証に依存した防御が効きません。結果として、影響評価は「管理対象資産の台数」ではなく「管理プレーンが行使できる最大権限と変更半径」で捉えるべきです。
• 爆発半径（Blast Radius）の再定義: 本件の特徴は、侵害直後から「組織が普段やっている正当な変更」と区別しにくい操作（プロファイル適用、ファームウェア基線の更新、BMC資格情報配布）に直行できることです。これは検知の難易度を上げます。SOCの検知観点は、単発の侵入シグナルよりも「短時間に集中する管理操作のパターン異常」に寄せるべきです。
• 一時的回避策の限界: 管理UI/APIの露出を下げ、ACLやVPNに閉じても、内部からの到達が可能であればリスクは残ります。最優先は修正適用ですが、同時に「最小到達性（ゼロトラスト・セグメンテーション）」「強制MFA（可能な場合）」「相互TLSやIP許可リスト」「監査ログの外部転送」を組み合わせ、脆弱期間の攻撃窓を狭めるのが現実解です。

脅威シナリオと影響

以下は仮説ベースのシナリオです。MITRE ATT&CKのタクティクス/テクニックは、公開技術詳細が限定的なため一般化した対応付けです。

• シナリオ1: 外部からの初期侵入→管理プレーン乗っ取り→横展開

  • 初期アクセス: 公開APIの悪用（T1190: Exploit Public-Facing Application）
  • 実行: OSコマンド/スクリプト実行（T1059: Command and Scripting Interpreter）
  • 権限維持: 管理アカウント新規作成・認証要素の改変（T1136: Create Account, T1556: Modify Authentication Process）
  • 発見・横展開: 管理対象インベントリ列挙（T1087/T1046）、BMCやハイパーバイザ等のリモートサービス悪用（T1210/T1021）
  • 影響: サーバープロファイル書き換え、電源操作、基盤設定の改変による業務停止（T1489: Service Stop, T1499: Endpoint Denial of Service）、暗号化や消去（T1486: Data Encrypted for Impact）

• シナリオ2: 内部踏み台（開発端末/ジャンプサーバ）からの管理API到達

  • 初期: フィッシングや脆弱端末乗っ取り（T1566/T1059）
  • 横展開: 管理ネットワークへの到達性を悪用（T1021）
  • 影響: OneView経由でBMCに新規資格情報を一括配布し、永続的バックドア化（T1136, T1098: Account Manipulation）

• シナリオ3: 破壊・強要型（ランサム/サボタージュ）

  • 初期〜実行: 上記と同様
  • 影響: ファームウェア基線の改変、意図的な不整合適用、電源サイクル連打などで復旧工数を爆発的に増大（T1490: Inhibit System Recovery, T1485: Data Destruction）

これらのシナリオはいずれも、単一サーバー侵害に比べて「同時多発・大域的変更」を短時間で引き起こしうる点が本質です。監査・変更管理・インシデント対応は、管理プレーンを起点に全域を巻き取る設計が求められます。

セキュリティ担当者のアクション

優先順位つきの即応計画を提示します。環境や変更凍結期間の制約があっても、「露出削減」「検知強化」「復旧準備」を並行で進めるのが現実解です。

• 0〜24時間（緊急対処）

  • 資産棚卸し: すべてのOneViewインスタンス（本番・DR・テスト）のバージョン、設置場所、到達経路（L3/ACL/VPN/公開可否）を即時把握します。
  • 露出遮断: インターネットからの到達は全面遮断、管理ネットワーク内でもアクセス元を最小化（運用端末・ジャンプホストのみに限定）します。WAF/NGFWが前段にある場合は未知のAPIメソッド/パスへのPOSTを一時ブロック検討します。
  • パッチ適用計画確定: OneView 11.0へのアップグレードまたは緊急ホットフィックス適用のメンテナンスウインドウを確保し、ベンダー手順に沿って事前バックアップ・ロールバック計画を整えます。
  • 監視強化: 監査ログ/アクセスログを外部SIEMへ即時転送し、以下の兆候を高感度で検知します（しきい値は環境別に調整）。
    • 不明なソースからのAPI呼び出し急増（特にPOST/PUT/DELETE）
    • 短時間に集中する権限・認証関連設定の変更
    • サーバープロファイルの一括適用やBMC資格情報の一括更新
    • エラー率の急上昇（4xx/5xx）後の成功応答への遷移

• 24〜72時間（恒久対処に向けた安定化）

  • 本適用: 11.0またはホットフィックスを適用し、ビルド/署名の検証、機能試験、監査ログの連続性確認を行います。
  • 最小到達性: OneViewへの到達経路を「専用管理ネットワーク＋ジャンプホスト限定」に固定し、IP許可リストや相互TLS等の追加防御を導入可能か評価します。
  • 認証強化: 管理者アカウントの棚卸し・削減、パスワード/秘密鍵のローテーション、可能な多要素認証の有効化、APIトークンの再発行を実施します。
  • ログの定常化: 監査ログ項目の完全性、保持期間、外部アーカイブを見直し、OneViewの操作系イベントを変更管理と突合可能にします。

• 1〜2週間（設計の是正）

  • 管理プレーンの分割: OneView、ハイパーバイザ、ストレージ、ネットワークの管理プレーンを論理/物理的に分離し、連鎖崩壊を防止します。
  • 権限境界の設定: OneView内のロールを業務単位に分割し、全能アカウントの常用を廃止します。緊急時昇格（PAM/Just-In-Time）に切り替えます。
  • 復旧演習: 管理プレーン完全侵害を前提に、iLO等BMCの資格情報再配布、サーバープロファイルの健全性検証、ファームウェア基線の再適用までを含む手順を演習します。
  • 露出監査の自動化: ASM/脆弱性管理で管理系IP/ドメインの対外露出を継続監査し、逸脱があれば自動通知・遮断できる状態にします。

• 侵害兆候がある場合の特記事項

  • 管理プレーン完全侵害として扱い、OneView上の全管理者資格情報・APIトークンを失効、BMC側のローカル管理者も一括ローテーションします。
  • OneViewからの自動化ジョブ/スクリプトの改変有無、外部接続（Webフック、コールホーム）の悪用有無を確認します。
  • 証跡確保を優先しつつ、業務継続のための代替管理経路（手動/別管理系）を確保します。

最後に、今回のメトリクスに現れる緊急性と実行可能性の高さは、単に「早くパッチを当てる」だけでは不十分で、管理プレーン全体の到達性・権限・証跡を再設計する必要性を示唆しています。管理の効率性と安全性はトレードオフではなく、境界の最小化、特権の一時化、監査の外部化を組み合わせることで両立できます。現場は「台数」ではなく「変更半径」をKPIに、運用の健全性を可視化していくべきです。

参考情報

• The Register: HPE OneView RCE bug prompts urgent patching calls（CVE-2025-37164、影響バージョンと対処の報道）: https://go.theregister.com/feed/www.theregister.com/2025/12/19/hpe_oneview_rce_bug/