Resumo
Pesquisadores publicaram prova de conceito (PoC) e existe módulo Metasploit para CVE‑2025‑37164, erro de execução remota (RCE) em HPE OneView. A falha permite execução de comandos sem autenticação em versões anteriores à 11.0; HPE liberou hotfix que bloqueia o endpoint vulnerável.
Vulnerabilidade e impacto
CVE‑2025‑37164 afeta o endpoint REST ID‑Pools (PUT /rest/id-pools/executeCommand) em instâncias do HPE OneView. O parâmetro executeCommand é tratado de forma a marcar o cabeçalho de autenticação como “não requerido”, permitindo envio de payload JSON que é executado com privilégios elevados na console de gerenciamento.
Dada a natureza da OneView (console de gerenciamento de infraestrutura física e virtual), exploração bem‑sucedida pode conceder aos invasores controle sobre recursos de hardware, provisionamento e, potencialmente, acesso a sistemas orquestrados pela plataforma — risco crítico para datacenters e ambientes corporativos.
Status de exploração e disponibilidade de código
Foi publicada PoC e, conforme análises de terceiros (ex.: Rapid7), já existe módulo Metasploit tornando a armação da falha significativamente mais acessível para atores maliciosos. Isso eleva o risco de exploração em ambientes não corrigidos.
Mitigações e ações urgentes
- Aplicar o hotfix divulgado pela HPE que bloqueia o caminho vulnerável;
- Isolar consoles OneView da rede pública e restringir acesso por rede administrativa (VPN, ACLs e segmentação);
- Auditar logs de API e procurar chamadas a /rest/id-pools/executeCommand seguidas de comandos inesperados;
- Se não for possível aplicar o hotfix de imediato, bloquear via WAF/ACL o método PUT nesse endpoint e restringir acessos por IP confiáveis.
Verificação de compromissos
Devido à possibilidade de execução de comandos privilegiados, equipes de IR devem procurar artefatos típicos de pós‑exploração: criação de shells reversos, contas administrativas não autorizadas, mudanças em configurações de hardware e tráfego de comando‑e‑controle originado de consoles OneView.
Recomendações para CISOs
Administradores devem priorizar inventário e verificação de versões de OneView em sua malha de gerenciamento. Verifique a presença de versões anteriores à 11.0 e corrija imediatamente. Além disso, revisar o princípio de menor privilégio para contas de API e reforçar monitoramento e alertas para chamadas administrativas incomuns.
O que falta
As divulgações públicas não apresentam um mapa completo de quais implantações específicas (HPE Synergy, OneView for VMs) estão ativas em cada cliente, o que exige inventário local pela equipe técnica. Também não há até o momento um índice público de compromissos confirmados em larga escala.
Conclusão
CVE‑2025‑37164 é uma vulnerabilidade de alta criticidade com PoC e módulo Metasploit conhecidos. A combinação de privilégio alto e ausência de autenticação efetiva exige resposta imediata: aplicar hotfix, isolar consoles e auditar sinais de exploração.