Hewlett Packard Enterprise (HPE) ได้ทำการออกแพตช์แก้ไขช่องโหว่ที่มีความรุนแรงระดับสูงสุดในซอฟต์แวร์ HPE OneView ซึ่งอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลตามที่ต้องการได้
OneView เป็นซอฟต์แวร์บริหารจัดการโครงสร้างพื้นฐานของ HPE ที่ช่วยให้ผู้ดูแลระบบไอทีสามารถปรับปรุงการทำงานให้คล่องตัว และบริหารจัดการ Server, Storage รวมถึงอุปกรณ์เครือข่ายได้แบบอัตโนมัติจากหน้าจอควบคุมส่วนกลาง
ช่องโหว่ด้านความปลอดภัยระดับ Critical นี้มีหมายเลข CVE-2025-37164 ได้รับการรายงานจากทีมรักษาความปลอดภัยของบริษัทโดย Nguyen Quoc Khanh (brocked200) นักวิจัยด้านความปลอดภัยชาวเวียดนาม
ช่องโหว่ดังกล่าวส่งผลกระทบต่อ OneView ทุกเวอร์ชันที่เปิดตัวก่อนหน้า v11.00 และอาจถูกผู้ไม่หวังดีนำไปใช้โจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน ด้วยวิธีการ Code injection ที่มีความซับซ้อนต่ำ เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนระบบที่ยังไม่ได้รับการอัปเดตแพตช์
HPE ประกาศเมื่อวันอังคารที่ 16 ธันวาคมผ่านมา "มีการตรวจพบช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ Hewlett Packard Enterprise OneView ซึ่งช่องโหว่ดังกล่าวอาจถูกนำไปใช้ในการโจมตี เพื่อทำให้ผู้โจมตีจากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตนสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้"
ขณะนี้ยัง ไม่มีวิธีแก้ไข หรือวิธีลดผลกระทบสำหรับช่องโหว่ CVE-2025-37164 ดังนั้นผู้ดูแลระบบควรรีบทำการอัปเดตแพตช์ให้กับระบบที่มีความเสี่ยงโดยเร็วที่สุด
ทาง HPE ยังไม่ได้ยืนยันว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแล้วหรือไม่ พร้อมทั้งระบุว่าองค์กรที่ได้รับผลกระทบสามารถแก้ไขปัญหาได้โดยการอัปเกรด OneView ให้เป็น เวอร์ชัน 11.00 หรือใหม่กว่า ซึ่งสามารถดาวน์โหลดได้ผ่านทาง HPE Software Center
สำหรับอุปกรณ์ที่ใช้งาน OneView เวอร์ชัน 5.20 ถึงเวอร์ชัน 10.20 สามารถแก้ไขช่องโหว่ดังกล่าวได้โดยการติดตั้ง Security Hotfix ซึ่ง จำเป็นต้องติดตั้งซ้ำหากมีการอัปเกรดจากเวอร์ชัน 6.60 หรือใหม่กว่าไปเป็นเวอร์ชัน 7.00.00 หรือหลังจากมีการดำเนินการลงอิมเมจใหม่บน HPE Synergy Composer
ทาง HPE ได้จัดเตรียมไฟล์ดาวน์โหลดแยกต่างหากสำหรับ Hotfix ของ Virtual Appliance และ Hotfix ของ Synergy ผ่านทางหน้าเว็บ Support โดยเฉพาะ
ในเดือนมิถุนายนที่ผ่านมาทาง HPE ได้ออกแพตช์แก้ไข 8 ช่องโหว่ใน StoreOnce (โซลูชันสำรองข้อมูลบนดิสก์ และลดความซ้ำซ้อนของข้อมูล) ซึ่งรวมถึงช่องโหว่ระดับ Critical ที่ช่วยให้สามารถ Bypass การยืนยันตัวตน และช่องโหว่ RCE อีก 3 รายการ
ในเดือนกรกฎาคมอีกหนึ่งเดือนถัดมา บริษัทก็ได้แจ้งเตือนเรื่อง Hardcoded Credentials ในอุปกรณ์ Aruba Instant On Access Points ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงหน้าเว็บ interface ได้โดยไม่ต้องผ่านการยืนยันตัวตนตามปกติของอุปกรณ์
ปัจจุบัน HPE มีพนักงานกว่า 61,000 คนทั่วโลก และมีรายได้รายงานอยู่ที่ 3.01 หมื่นล้านดอลลาร์สหรัฐในปี 2024 โดยผลิตภัณฑ์ และบริการของบริษัทถูกใช้งานโดยองค์กรกว่า 55,000 แห่งทั่วโลก รวมถึง 90% ของบริษัทในกลุ่ม Fortune 500
ที่มา : bleepingcomputer
You must be logged in to post a comment.