美國網路安全與基礎設施安全局（CISA）將HPE OneView IT基礎設施管理平台的嚴重漏洞CVE-2025-37164列入已知遭利用漏洞（KEV）目錄，證實駭客已野外積極攻擊。該漏洞CVSS滿分10分，允許遠端程式碼執行（RCE），讓攻擊者獲管理員級控制，掌管伺服器、儲存、網路與韌體等資產。HPE於2025年12月17日披露並發布hotfix，涵蓋5.20至10.20版本。對台灣而言，HPE設備廣用於政府、金融與製造業數據中心，若未修補，恐致全網淪陷、資料外洩或供應鏈斷鏈，資安專家呼籲企業立即升級與審核暴露介面，防範這波邊界管理平台危機。

 

OneView為HPE軟體定義管理平台，提供集中控制企業基礎設施，具高權限特性，讓此漏洞破壞力驚人。Rapid7漏洞情報總監Douglas McKee接受Dark Reading訪談時指出，「這獲滿分因其功能—管理平台深藏網路，廣權限少監控，因『應受信任』。未認證RCE現身此層，防禦者須視為已洩假設，立即修補並審存取路徑與分段。」攻擊者成功RCE，即掌控制平面，爆破範圍遠超一般Web應用漏洞，後果災難性：改韌體、斷服務或橫移內網。

 

HPE公告指，漏洞經社群成員通報，12月17日速推hotfix。公司發言人回覆Dark Reading，「未收客戶利用報告，但強烈建議OneView用戶盡快修補。」Rapid7亦未觀測利用活動，僅CISA KEV列入證實野外攻擊。專家分析，這類管理平台信任假設易遭武器化：暴露公網或弱驗證，即成跳板。McKee警告，「這非典型Web bug—單一妥協可引發連鎖。」

 

台灣衝擊嚴峻。根據資策會2026年雲端報告，HPE伺服器與管理平台佔台灣企業數據中心逾25%，政府機關如數位發展部、警政署、金融如兆豐銀行、製造如台達電廣用OneView集中管理。若遭RCE，駭客可遠端控伺服器群、改韌體或斷關鍵服務，損失難估。趨勢科技台灣分公司估計，2026年邊界管理漏洞事件漲25%，多因暴露介面與修補延遲。國資中心資安處已發緊急通函，列為高優先，呼籲農曆春節前修補，避免假期中招。

 

近期邊界設備連環危機：WatchGuard Firebox零日、Fortinet FortiGate與SonicWall SMA1000皆遭利用，凸顯管理平台成駭客新寵。McKee補充，「這些平台深藏卻高權，監控少—零日現身即火燒眉毛。」HPE雖速修，卻暴露產業痛點：信任假設與暴露配置。

防範之道，專家建議多層並進：

HPE的快速回應獲肯定，卻提醒邊界安全的結構風險：便利管理成隱雷。McKee結語，「視為已洩，優先修補。」在台灣數位基礎設施中，此事件是警鐘：從被動應對，到主動韌性。政府、企業與用戶聯手，方能讓OneView從弱點，變成鐵衛，守護2026年不墜。

 

 

出處：本新聞參考自Rob Wright於2026年1月9日發表於Dark Reading的報導《Maximum Severity HPE OneView Flaw Exploited in the Wild》。