Catastrofe Zero-Click: La Porta Silenziosa di HPE OneView per gli Hacker

È iniziato tutto con un sussurro - un avviso interno, che avvertiva silenziosamente i clienti di una vulnerabilità così grave da poter mettere in ginocchio interi data center. Hewlett Packard Enterprise (HPE), un gigante nel mondo dell’infrastruttura IT, aveva appena scoperto l’equivalente digitale di una voragine nel suo software di gestione OneView - una vulnerabilità con un rarissimo punteggio CVSS perfetto di 10.0, che consente l’esecuzione di codice da remoto senza autenticazione. Per migliaia di organizzazioni, gli strumenti pensati per proteggere i server erano diventati una porta sul retro per avversari invisibili.

HPE OneView è il centro nevralgico di molti data center moderni, orchestrando server, storage e rete da un’unica dashboard. Ma la stessa comodità che l’ha resa onnipresente l’ha anche resa un bersaglio allettante. Secondo l’avviso di HPE, chiunque - senza bisogno di credenziali - potrebbe sfruttare la falla per prendere il pieno controllo del sistema. Nelle mani sbagliate, questo significa che gli attaccanti potrebbero distribuire ransomware, esfiltrare dati sensibili o spostarsi verso altre parti dell’infrastruttura aziendale, tutto senza far scattare alcun allarme.

La vulnerabilità, identificata come CVE-2025-37164, colpisce tutte le versioni di OneView precedenti alla 11.00. HPE ha agito rapidamente, rilasciando sia una nuova versione che hotfix per le principali release a partire dalla 5.20. Tuttavia, il processo di patching è tutt’altro che semplice. Per gli amministratori che utilizzano versioni 6.60 o successive, l’hotfix deve essere riapplicato dopo ogni aggiornamento alla 7.00.00 o dopo il reimaging di determinati hardware - un passaggio facilmente trascurabile che potrebbe lasciare le organizzazioni esposte nonostante le migliori intenzioni. Sono necessari hotfix separati per l’appliance virtuale OneView e per Synergy Composer2, aggiungendo ulteriore complessità.

Sebbene HPE affermi che non ci siano prove di sfruttamento attivo, la storia insegna che le vulnerabilità critiche raramente passano inosservate a lungo. All’inizio di quest’anno, HPE si è affrettata a correggere altri otto bug gravi nel suo prodotto di backup StoreOnce, alcuni dei quali consentivano anch’essi di bypassare l’autenticazione o eseguire codice da remoto. Il messaggio è chiaro: man mano che gli ambienti IT diventano sempre più interconnessi, una singola falla trascurata può avere conseguenze a cascata.

Per ora, è una corsa contro il tempo. Gli amministratori di sistema devono applicare le patch con urgenza, ricontrollando ogni passaggio, mentre i cybercriminali scandagliano la rete alla ricerca di istanze OneView esposte. In un mondo in cui l’infrastruttura digitale è sia spina dorsale che campo di battaglia, anche un sussurro di vulnerabilità può trasformarsi in un boato.

WIKICROOK

• CVSS: Il CVSS (Common Vulnerability Scoring System) è uno standard per valutare la gravità delle falle di sicurezza, con punteggi da 0.0 a 10.0.
• Esecuzione di Codice da Remoto: L’esecuzione di codice da remoto permette agli attaccanti di eseguire comandi sul tuo computer a distanza, spesso portando al completo compromesso del sistema e al furto di dati.
• Hotfix: Un hotfix è un aggiornamento software urgente rilasciato per correggere rapidamente una specifica falla di sicurezza o bug prima che venga distribuito un aggiornamento completo.
• Bypass dell’Autenticazione: Il bypass dell’autenticazione è una vulnerabilità che consente agli attaccanti di saltare o ingannare il processo di login, ottenendo accesso ai sistemi senza credenziali valide.
• Appliance Virtuale: Un’appliance virtuale è un’emulazione software di hardware, utilizzata per distribuire servizi IT o di sicurezza in modo efficiente all’interno di ambienti virtualizzati.