Một cảnh báo bảo mật nghiêm trọng đã được phát hành, thông báo cho khách hàng về một lỗ hổng CVE nghiêm trọng trong phần mềm HPE OneView. Lỗ hổng này cho phép kẻ tấn công từ xa thực thi mã tùy ý mà không cần xác thực.

Lỗ hổng được theo dõi với mã CVE-2025-37164, mang điểm số CVSS mức độ nghiêm trọng là 10.0, cho thấy rủi ro ở mức tối đa và cực kỳ nguy hiểm.

Phân tích CVE-2025-37164: Lỗ hổng HPE OneView

Thông tin lỗ hổng CVE và CVSS

CVE-2025-37164 ảnh hưởng đến tất cả các phiên bản của phần mềm HPE OneView trước v11.00. Kẻ tấn công từ xa không cần xác thực có thể khai thác lỗ hổng này để đạt được khả năng thực thi mã từ xa (remote code execution).

Cuộc tấn công không yêu cầu tương tác người dùng hay các đặc quyền truy cập đặc biệt, khiến nó có thể bị khai thác ngay lập tức qua mạng. Lỗ hổng này tác động nghiêm trọng đến tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability) của các hệ thống bị ảnh hưởng.

Theo bản tin bảo mật HPESBGN04985 của HPE, lỗ hổng đã được một nhà nghiên cứu bảo mật tên brocked200 (Nguyễn Quốc Khánh) tiết lộ một cách có trách nhiệm vào ngày 16 tháng 12 năm 2025.

Chuỗi vector CVSS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H chỉ ra rằng lỗ hổng có thể bị khai thác qua mạng mà không yêu cầu bất kỳ xác thực hoặc tương tác người dùng nào.

Độ phức tạp tấn công thấp có nghĩa là kẻ tấn công có thể thực hiện khai thác một cách đáng tin cậy bằng các kỹ thuật đơn giản. Điều này nhấn mạnh mức độ rủi ro cao của lỗ hổng HPE OneView này.

Cơ chế khai thác và Tác động

Việc thực thi mã từ xa không cần xác thực (unauthenticated remote code execution) là một trong những loại lỗ hổng nghiêm trọng nhất. Nó cho phép kẻ tấn công giành toàn quyền kiểm soát hệ thống mà không cần bất kỳ thông tin đăng nhập nào.

Tác động bao gồm khả năng truy cập, sửa đổi hoặc xóa dữ liệu nhạy cảm, cài đặt mã độc bổ sung, và phá hoại hoạt động của hệ thống HPE OneView và các tài nguyên mà nó quản lý.

Khuyến nghị và các biện pháp giảm thiểu

Các bước vá lỗi bảo mật

HPE khuyến nghị tất cả khách hàng bị ảnh hưởng thực hiện hành động ngay lập tức. Giải pháp chính là nâng cấp lên HPE OneView v11.00 hoặc phiên bản mới hơn thông qua cổng My HPE Software Center.

Đối với các tổ chức đang chạy các phiên bản OneView từ 5.20 đến 10.20, có thể áp dụng một bản vá nóng (security hotfix) chuyên dụng. Bản vá này có sẵn từ các kênh hỗ trợ của HPE.

Lưu ý quan trọng: bản vá nóng này phải được áp dụng lại sau khi nâng cấp từ HPE OneView 6.60.xx lên 7.00.00, bao gồm cả các hoạt động reimaging HPE Synergy Composer.

Các quản trị viên bảo mật đang quản lý triển khai HPE OneView cần ưu tiên việc cập nhật bản vá bảo mật cho các hệ thống này, do mức độ nghiêm trọng và dễ dàng khai thác của CVE-2025-37164.

Biện pháp thay thế và Giám sát

Các tổ chức không thể cập nhật bản vá ngay lập tức nên triển khai phân đoạn mạng (network segmentation) để hạn chế quyền truy cập vào các hệ thống HPE OneView.

Ngoài ra, cần tăng cường giám sát hoạt động đáng ngờ trên mạng và nhật ký hệ thống để phát hiện các dấu hiệu khai thác tiềm năng của lỗ hổng HPE OneView.

Lộ trình xử lý và Hỗ trợ

HPE khuyến nghị xem xét các quy trình quản lý hệ thống và bảo mật thường xuyên để duy trì tính toàn vẹn của hệ thống.

Đối với các câu hỏi kỹ thuật về triển khai, khách hàng của HPE nên liên hệ với kênh hỗ trợ dịch vụ HPE thông thường của họ.

HPE tiếp tục theo dõi và nâng cao các tính năng bảo mật trên toàn bộ danh mục phần mềm của mình để cung cấp cho khách hàng các giải pháp an toàn và cập nhật chống lại các mối đe dọa mới nổi.