# CVE-2025-37164 - HPE OneView RCE CVSS 10.0 Explorado Ativamente > [!critical] Severidade Máxima - RCE Não Autenticada em Plataforma de Gerenciamento > Vulnerabilidade CVSS 10.0 no HPE OneView permite execução remota de código sem autenticação. CISA KEV desde 15/01/2026. PoC público disponível. Compromisso do OneView significa controle total sobre toda infraestrutura HPE gerenciada. ## Visão Geral **CVE-2025-37164** é uma vulnerabilidade de severidade máxima (CVSS 10.0) no **HPE OneView**, plataforma de gerenciamento unificado de infraestrutura convergente da Hewlett Packard Enterprise. A falha permite **execução remota de código (RCE) sem autenticação** em versões anteriores à 11.0, tornando qualquer instância exposta à rede um alvo trivial para atacantes. O HPE OneView é utilizado para gerenciar, provisionar e monitorar servidores HPE ProLiant, sistemas de armazenamento e infraestrutura de rede em data centers corporativos. A CISA adicionou a vulnerabilidade ao catálogo KEV em 15 de janeiro de 2026, confirmando **exploração ativa em ambientes reais**. A gravidade é amplificada pela existência de um **PoC (proof-of-concept) público**, reduzindo drasticamente a barreira de entrada para atacantes. Comprometer o OneView é equivalente a obter controle sobre toda a infraestrutura HPE gerenciada pela plataforma - incluindo provisionamento de servidores, configurações de firmware, e credenciais de gerenciamento de hardware. Isso posiciona a vulnerabilidade como um vetor de alto valor para campanhas de [[t1195-002-compromise-software-supply-chain|supply chain]] e movimentação lateral massiva em data centers. A falta de atribuição a grupos específicos não diminui o risco - a combinação de CVSS 10.0, PoC público e KEV ativo indica que múltiplos atores, desde APTs a operadores de [[t1486-data-encrypted-for-impact|ransomware]], provavelmente estão explorando a falha. ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Scan por OneView exposto<br/>porta 443"] --> B["💥 Exploit RCE<br/>Sem autenticação<br/>PoC público disponível"] B --> C["🔑 Execução de Código<br/>Comandos arbitrários<br/>no servidor OneView"] C --> D["🛡️ Persistência<br/>Backdoor no sistema<br/>de gerenciamento"] D --> E["🔗 Movimentação Lateral<br/>Controle de servidores HPE<br/>via OneView API"] E --> F["📤 Impacto<br/>Exfiltração de configs<br/>e credenciais de hardware"] ``` ## TTPs Mapeados | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | RCE não autenticada na interface web OneView | | Execution | [[t1059-command-scripting-interpreter\|T1059]] | Execução de comandos arbitrários no servidor | | Persistence | [[t1505-003-web-shell\|T1505.003]] | Potencial implantação de web shell pós-exploit | | Credential Access | [[t1552-unsecured-credentials\|T1552]] | Acesso a credenciais de gerenciamento de hardware | | Lateral Movement | [[t1021-remote-services\|T1021]] | Movimentação via API de gerenciamento HPE | | Impact | [[t1529-system-shutdown-reboot\|T1529]] | Controle sobre ciclo de vida de servidores | ## Relevância LATAM/Brasil > [!latam] Impacto Regional > A HPE possui presença significativa no mercado corporativo brasileiro, com data centers de grandes bancos, operadoras de telecomúnicações e órgãos governamentais utilizando infraestrutura HPE ProLiant gerenciada por OneView. A **HP Brasil** mantém escritórios em Barueri (SP) e operações de suporte em diversas capitais. O setor [[financial|financeiro]] brasileiro é um dos maiores consumidores de hardware HPE na região, com bancos de grande porte operando milhares de servidores ProLiant em seus data centers primários e de contingência. Instituições como o Banco do Brasil, Caixa Econômica Federal e grandes bancos privados historicamente utilizam infraestrutura HPE. Além do setor financeiro, órgãos do [[government|governo federal]] e [[telecommunications|operadoras de telecomúnicações]] também são grandes clientes HPE no Brasil. A exposição de interfaces OneView à rede corporativa (mesmo sem acesso direto à internet) representa risco significativo em cenários de movimentação lateral, onde um atacante que já comprometeu a rede pode escalar para controle total da infraestrutura. ## Detecção e Defesa ### Ações Imediatas 1. **Aplicar patch** para HPE OneView versão 11.0 ou superior 2. **Isolar** a interface de gerenciamento OneView em VLAN de administração dedicada 3. **Restringir acesso** via ACL/firewall - apenas estações de gerenciamento autorizadas 4. **Auditar logs** de acesso ao OneView por conexões não autorizadas 5. **Verificar** integridade do sistema operacional subjacente ao OneView ### Mitigações MITRE - [[M1030-network-segmentation\|M1030 - Network Segmentation]]: isolar OneView em rede de gerenciamento - [[M1035-limit-access-to-resource-over-network\|M1035 - Limit Access to Resource Over Network]]: ACLs restritivas - [[M1051-update-software\|M1051 - Update Software]]: atualizar para versão 11.0+ ## Referências - [eSentire - PoC Released for HPE OneView CVE-2025-37164](https://www.esentire.com/security-advisories/poc-released-for-hpe-oneview-vulnerability-CVE-2025-37164) - [SecurityWeek - HPE Patches Critical Flaw](https://www.securityweek.com/hpe-patches-critical-flaw-in-it-infrastructure-management-software/) - [The Hacker News - CISA Flags HPE OneView](https://thehackernews.com/2026/01/cisa-flags-microsoft-office-and-hpe.html) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)