CISA Flags Microsoft Office and HPE OneView Bugs as Actively Exploited
2026/01/08 TheHackerNews — 1月7日 (水) に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Office と Hewlett Packard Enterprise (HPE) OneView に影響を及ぼす2件のセキュリティ欠陥を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
これらの脆弱性は以下の通りである:
CVE-2009-0556 (CVSS:8.8):Microsoft Office PowerPoint に存在するコード・インジェクションの脆弱性である。リモートの攻撃者がメモリ破損を引き起こし、任意のコードを実行する可能性がある。
CVE-2025-37164 (CVSS:10.0):HPE OneView に存在するコード・インジェクションの脆弱性である。リモートの未認証の攻撃者が、リモートコード実行を引き起こす可能性がある。
2025年12月に HPE が発表したのは、脆弱性 CVE-2025-37164 がバージョン 11.00 未満に影響を与えることであり、その際に詳細な情報も提供されている。同社は、OneView バージョン 5.20/10 向けのホットフィックスも提供している。
現時点において、これら2件の脆弱性に対する攻撃の詳細は不明であり、実際に悪用されたという公開報告も確認されていない。しかし、2025年12月23日の eSentire のレポートでは、CVE-2025-37164 に対する詳細な PoC エクスプロイトが公開されている。
eSentire は、「PoC エクスプロイト・コードが公開されると、影響を受けるバージョンを実行している組織にとってリスクが大幅に高まる。この脆弱性は、バージョン 11.00 以下に影響を及ぼすため、ユーザー組織に対して強く推奨されるのは、速やかにアップデートを適用し、潜在的な悪用リスクを軽減することだ」と述べている。
拘束的運用指令 (BOD) 22-01 に基づき、この脅威からネットワークを保護するために、民政執行機関 (FCEB) は 2026年1月28日までに必要な修正プログラムを適用する必要がある。
注記:HPE のアドバイザリでは、影響を受けるバージョンは “All versions through v10.20” と記載されています。修正された可能性があります。
HPE OneView と PowerPoint の脆弱性が、CISA KEV カタログに追加されました。どちらの脆弱性も、送られてきたデータを正しく処理できずに、不正なプログラム (命令) が紛れ込んで実行されてしまう、コード・インジェクションが原因となっています。特に HPE OneView については、外部から命令を送り込めてしまう、きわめて深刻な状態にあります。それに加えて、すでにネット上で PoC エクスプロイト・コードが公開されているため、専門知識がなくても悪用しやすくなっています。こうした状況を受けて、公的機関が急いで対処すべきものとして登録しました。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.