核心威脅概述與資安背景

在當前企業數位轉型與混合雲架構的演進過程中，硬體管理與軟體定義基礎設施（SDI）的安全性已成為企業營運的命脈。惠普企業（HPE）已修復其 HPE OneView 軟體中的一個最高等級漏洞，漏洞編號為 CVE-2025-37164 ，CVSS值為10分，由越南安全研究員 Nguyen Quoc Khanh (brocked200) 發現。這個漏洞允許攻擊者遠端執行任意程式碼，它會影響 v11.00 之前發布的所有 OneView 版本，未經身份驗證的威脅行為者可以利用此漏洞進行低複雜度代碼注入攻擊，從而在未打補丁的系統上獲得遠端程式碼執行權限。

 

漏洞技術特徵與攻擊路徑分析

CVE-2025-37164 具備極高的危險性，主因在於其攻擊門檻極低且影響範圍極廣。該漏洞屬於典型的「代碼注入」類型，這意味著攻擊者不需要具備目標系統的任何合法憑證（Unauthenticated），即可透過網路發送惡意建構的封包觸發安全弱點。由於該漏洞被評定為低複雜度，這暗示了自動化攻擊指令碼（Exploit Scripts）極易編寫，且不需要特殊的環境配置或使用者互動即可達成目的。一旦攻擊者獲得遠端程式碼執行（RCE）權限，將等同於掌握了資料中心管理核心的控制權，可能導致伺服器群組被接管、數據外洩或整體營運中斷。

 

影響範圍評估與受災環境定義

此次安全事件的受影響範圍涵蓋了全球廣泛使用的 HPE OneView 平台，特別是那些尚未更新至最新穩定版本的舊型系統。根據官方公告，該漏洞影響 v11.00 之前發布的所有 OneView 版本。這對於許多採用 HPE Synergy 組合式基礎設施或 ProLiant 伺服器的企業而言，其維運管理的中樞神經正處於高度風險之中。由於 OneView 負責管理運算、儲存與網路資源，若此節點失守，攻擊者將以此為跳板，在企業內網進行橫向移動。

 

修補策略與升級路徑指南

針對此類極高風險漏洞，企業必須建立標準化的緊急應變流程。CVE-2025-37164 沒有變通方法或緩解措施，因此建議管理員盡快修補存在漏洞的系統。HPE 尚未確認漏洞是否已成為攻擊目標，並表示受影響的組織可以透過 HPE 軟體中心升級到 OneView 11.00 或更高版本來修復漏洞。對於仍需維持在舊版本分支的企業，HPE 提供了一種替代性的修復方案：對於執行 OneView 版本 5.20 至 10.20 的設備，可以透過部署安全熱修復程式來解決此漏洞。從版本 6.60 或更高版本升級到版本 7.00.00 後，或在任何 HPE Synergy Composer 重新映像操作後，必須重新套用此熱修復程序。虛擬設備安全熱修復程序和Synergy 安全熱修復程序可透過專門的支援頁面單獨下載。

 

維運管理之持續性安全檢核

對於台灣應用軟體環境的資安維護者而言，此事件再次強調了「資產清冊管理」與「補丁週期管理」的重要性。在部署熱修復程式後，應特別注意系統重置或升級後補丁失效的情形。企業應定期查核 HPE Synergy Composer 的映像狀態，確保在每次系統變更後，熱修復程序均已正確佈署並生效。此外，強烈建議將管理介面（Management UI）與公開網路完全隔離，並限制僅能透過受信任的 VPN 或專屬跳板機進行訪問，以降低未授權攻擊者觸達漏洞介面的機會。

 

未來防禦建議

面對 CVSS 10 分的滿分威脅，任何延遲修補都可能演變成災難性的資安事故。企業不僅應即刻執行版本更新，更應檢視內部的漏洞掃描機制是否能有效偵測此類底層管理軟體的弱點。HPE OneView 作為基礎設施的控制核心，其安全性必須被置於最高優先等級。透過落實最小權限原則、加密內部通訊以及維持嚴謹的補丁套用流程，方能確保企業在日益嚴峻的網路威脅環境中，維持核心軟體運作的穩健與安全。

註：
OneView 是 HPE 的基礎架構管理軟體，可協助 IT 管理員簡化操作，並透過集中式介面自動管理伺服器、儲存和網路設備。

資料來源：https://www.bleepingcomputer.com/news/security/hpe-warns-of-maximum-severity-rce-flaw-in-oneview-software/