CVE-2025-37164: HPE OneView dính lỗ hổng tối đa CVSS 10.0
CVE-2025-37164: HPE OneView dính lỗ hổng tối đa CVSS 10.0
Hewlett Packard Enterprise (HPE), một trong những hãng công nghệ quản lý hạ tầng doanh nghiệp, vừa phát đi cảnh báo khẩn cấp sau khi phát hiện lỗ hổng bảo mật mức độ nghiêm trọng tối đa (CVSS 10.0) trong nền tảng quản lý hạ tầng HPE OneView. Lỗ hổng này, được định danh CVE-2025-37164, cho phép kẻ tấn công thực thi mã từ xa mà không cần bất kỳ thông tin đăng nhập nào. Chuyên gia bảo mật Nguyễn Quốc Khánh (brocked200) là người đầu tiên phát hiện và báo cáo lỗ hổng này cho HPE, giúp hãng kịp thời phát hành bản vá và khuyến cáo khách hàng ưu tiên xử lý nguy cơ.
Theo số liệu từ các báo cáo thị trường, HPE OneView hiện đang quản lý khoảng 2 triệu máy chủ vật lý. HPE OneView có lượng khách hàng lớn trong các tổ chức quy mô lớn và nhiều ngành nhạy cảm như Banking, Healthcare, Telecommunications và Cloud Service Providers.
Bản chất kỹ thuật
Điểm quan trọng: đây là lỗ hổng unauthenticated RCE — kẻ tấn công từ xa có thể thực thi mã với đặc quyền của dịch vụ OneView mà không cần đăng nhập. Vì vậy, tính chất tấn công không yêu cầu tương tác người dùng hay credential.
Các nguồn phân tích (Rapid7) chỉ ra vector khả dĩ là một REST API endpoint đã được triển khai nhưng có thể tiếp cận mà không kiểm tra xác thực. Cụ thể, Rapid7 ghi nhận endpoint /rest/id-pools/executeCommand rất có khả năng là điểm vào để kích hoạt RCE, và hotfix của HPE hoạt động bằng cách chặn truy cập tới endpoint này ở lớp webserver. Đây là mô hình phổ biến: vá tạm thời bằng cách chặn hoặc harden endpoint trước khi sửa code ứng dụng gốc.
Lưu ý an toàn: không trình bày chi tiết kỹ thuật tạo exploit hay PoC (payload, request cụ thể) vì có thể bị lợi dụng. Tài liệu này tập trung vào phát hiện, giảm thiểu rủi ro và xử lý sự cố. Tiếp cận kỹ thuật chi tiết phải thực hiện trong môi trường kiểm thử an toàn và theo chính sách báo lỗi có trách nhiệm.
Phạm vi ảnh hưởng và bản cập nhật
- Phiên bản ảnh hưởng: OneView từ 5.20 đến 10.20 (tất cả trước 11.00).
- Bản cập nhật: HPE khuyến nghị nâng cấp lên OneView 11.00 hoặc áp dụng các security hotfix dành cho appliance ảo và HPE Synergy, theo hướng dẫn nhà sản xuất.
- Trạng thái exploitation: HPE chưa xác nhận khai thác trong tự nhiên, nhưng đặc tính và điểm CVSS khiến nguy cơ bị scan/khai thác tự động rất cao; xử lý theo kịch bản assumed breach.
Tác động thực tế
- Quyền lớn trên toàn hạ tầng: OneView là nền tảng điều khiển trung tâm cho firmware, lifecycle management và quản lý tài nguyên — chiếm quyền OneView có thể cho phép kẻ tấn công điều khiển server, storage và cấu hình firmware, làm tăng phạm vi rủi ro.
- Ransomware / lateral movement: Chiếm quyền controller cho phép cài mã độc, lan rộng trong mạng nội bộ và can thiệp vào cơ chế quản lý hạ tầng.
- Khó phát hiện: OneView thường nằm trong mạng quản trị nội bộ, ít tiếp xúc Internet, nên hoạt động bất thường dễ bị bỏ sót.
Khuyến nghị xử lý khẩn cấp
Mục tiêu: hạn chế rủi ro tức thời, phát hiện xâm nhập và bảo đảm khả năng phục hồi.
-
Patch ngay theo thứ tự an toàn:
- Nâng cấp lên OneView 11.00 nếu có thể (sau test trên staging). Nếu không, áp dụng security hotfix do HPE phát hành cho phiên bản đang chạy theo hướng dẫn.
-
Phân đoạn mạng & hạn chế truy cập:
- Đảm bảo OneView chỉ truy cập từ mạng quản trị nội bộ và từ các IP quản trị đã xác thực (ACL trên firewall, microsegmentation). Tạm thời chặn mọi truy cập công cộng tới management interfaces nếu có thể.
-
Tăng mức giám sát (logging / IDS / EDR):
- Tích hợp logs của OneView vào SIEM; theo dõi request bất thường tới REST API (endpoint hiếm dùng hoặc POST tới endpoint admin). Triển khai signature/indicator theo hướng dẫn vendor/INTEL nhưng tránh dùng PoC công khai.
-
Rà soát, điều tra theo kịch bản đã bị xâm nhập:
- Kiểm tra appliance OneView và các controller node: tìm dấu hiệu thay đổi, tệp lạ, tiến trình mới, kết nối outbound lạ. Nếu nghi vấn, cách ly appliance và thực hiện forensic. Cập nhật không khắc phục compromise trước đó — cần điều tra lịch sử hoạt động trước khi patch.
-
Thông báo nội bộ và bên thứ ba:
- Thông báo đội mạng, đội bảo mật, quản lý rủi ro; nếu có nghĩa vụ pháp lý/tuân thủ, cân nhắc báo với CERT địa phương theo quy định.
-
Kiểm thử sau khắc phục / audit:
- Sau khắc phục, thực hiện pen-test nội bộ hoặc thuê bên thứ ba để đảm bảo endpoint đã được harden và không còn dấu hiệu backdoor.
Tham khảo: tài liệu cập nhật chính thức của HPE.
Phát hiện (hướng dẫn kỹ thuật — không cung cấp exploit)
Tín hiệu nên theo dõi (high-level):
- Các yêu cầu HTTP/HTTPS tới REST API ít khi được sử dụng (như
/rest/id-pools/executeCommand) từ địa chỉ lạ hoặc thời điểm bất thường. - Tiến trình hoặc tệp thực thi lạ liên quan đến OneView.
- Kết nối outbound bất thường từ appliance OneView tới IP/host không quen thuộc.
- Thông báo lỗi hoặc crash trùng thời điểm trước/sau các request bất thường.
Lưu ý: các detection trên là hướng dẫn tổng quát; triển khai detection phải phù hợp với log format/architecture của OneView và SIEM của bạn.
Kế hoạch xử lý sự cố
- Isolate: cách ly hệ thống khỏi môi trường vận hành, giữ dữ liệu để phục vụ phân tích.
- Preserve evidence: tạo snapshot, sao lưu logs; không reboot nếu có nguy cơ mất artefact quan trọng.
- Patch: áp hotfix / nâng cấp theo hướng dẫn HPE trên môi trường staging trước khi triển khai production.
- Hunt: kiểm tra lateral movement, backdoors, persistence.
- Remediate & harden: restore từ image an toàn nếu cần, thay credentials, kiểm tra integrity.
- Post-incident: báo cáo, lessons learned, cập nhật playbook và thực hiện kiểm tra định kỳ.
Kết luận và đánh giá rủi ro
CVE-2025-37164 được đánh giá là lỗ hổng có mức độ rủi ro đặc biệt cao do vai trò trung tâm của OneView trong hệ thống hạ tầng: bị khai thác thành công có thể cho phép kẻ tấn công kiểm soát các thành phần phần cứng và toàn bộ vòng đời thiết bị. Ngay cả khi chưa có bằng chứng về khai thác rộng rãi, đặc tính unauthenticated RCE và điểm CVSS 10.0 yêu cầu mọi tổ chức dùng OneView phải ưu tiên cập nhật phiên bản, áp dụng hotfix và rà soát hệ thống theo kịch bản assumed-breach.