HPE OneView for VMware vCenter Allows Escalation of Privileges
2025/06/26 CyberSecurityNews — HPE の OneView for VMware vCenter (OV4VC) プラットフォームに、深刻なセキュリティ脆弱性が発見された。この脆弱性を悪用する、アクセス権限が制限されている攻撃者は、管理者レベルへの権限昇格の可能性を手にする。この脆弱性 CVE-2025-37101 (CVSS:8.7) が影響を及ぼす範囲は、バージョン 11.7 未満であり、エンタープライズ環境にとって重大なリスクとなる。
概要
- HPE OneView for VMware vCenter には、読取権限のみを持つユーザーが、管理者権限を取得できる、権限昇格の脆弱性 CVE-2025-37101 が存在する。
- この脆弱性は、バージョン 11.7 未満に影響を及ぼし、システムの整合性/可用性を損なう。
- Operations Manager および Log Insight を搭載する、すべての HPE OneView 環境が、不正アクセスに対して脆弱となる。
- My HPE Software Center から、速やかに v11.7 以降をダウンロードし、アップグレードすることで、セキュリティ・リスクを排除する必要がある。
垂直型の権限昇格の脆弱性
このセキュリティ脆弱性の悪用により、サイバー・セキュリティの専門家たちが “垂直権限昇格” と呼ぶ攻撃にいたる可能性がある。それが意味するのは、読取り専用権限のみを持つ攻撃者が、この脆弱性を悪用することで、通常では到達できない管理操作の実行が可能になることである。
HPE の製品セキュリティ対応チームによると、すでにシステムへのイニシャル・アクセスを達成し、限定的な権限で取得している攻撃者により、この脆弱性が悪用される可能性があるという。
この脆弱性の ベクター文字列は (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H) である。
上記の表記が示すのは、ネットワーク上での実行が可能であり、攻撃の複雑性は低く、低レベルの権限が必要とされ、ユーザーによる操作を伴う一方で、影響を受けるシステムの整合性/可用性に重大な影響が生じる可能性があることだ。
この脆弱性が存在するのは、OneView for VMware vCenter with Operations Manager/Log Insight コンポーネントであり、インフラ管理を HPE のソリューションに依存している企業にとって大きな懸念事項となる。
一般的なオペレーターに対して、権限昇格を介した管理アクションの実行が許されることで、不正なコンフィグ変更/データ・アクセス/システム中断などの、重大なセキュリティ・リスクが生じることになる。
この脆弱性の深刻度は、CVSS スコア 8.7 と評価され High カテゴリに分類されるため、エンタープライズ・セキュリティ・チームは懸念すべき状況にある。
| Risk Factors | Details |
| Affected Products | HPE OneView for VMware vCenter with Operations Manager and Log Insight – All versions prior to v11.7 |
| Impact | Local Elevation of Privilege |
| Exploit Prerequisites | – Network access to the system- Low-level privileges (read-only access)- User interaction required- Low attack complexity |
| CVSS 3.1 Score | 8.7 (High) |
パッチ提供
すでに HPE は、包括的な修正プログラムとして、OneView for VMware vCenter v11.7 をリリースし、この権限昇格の脆弱性に対処している。
影響を受けるバージョンを使用している組織は、My HPE Software Center ポータルから、速やかに最新リリースを入手し、アップデートの適用を優先してほしい。
複数のユーザーが、多様なレベルのシステム・アクセス権限を持つ環境においては、現在の HPE OneView の導入状況を監査し、アップグレード・プロセスを迅速化することを、セキュリティ専門家たちは推奨している。
企業の IT 環境で広く利用される HPE OneView において、管理者権限が不正に取得されるリスクがあるようです。特に、読取専用ユーザーであっても、攻撃が可能になるという深刻な脆弱性とのことです。ご利用のチームは、アップデートを ご検討ください。よろしければ、HPE で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.