HPE OneView CVE-2025-37164 worth paying attention to

- Widely used enterprise management software

- HPE added a REST command, executeCommand, which requires no authentication to execute commands. Obviously, this is dumb and now patched out

- Being on OneView allows attacker to access VMware, 3PAR storage etc by design

- Expect exploitation in the wild as it's so simple

- The vulnerability (executeCommand) was introduced around 2020, feels like a vulndoor

Shodan dork: product:"HPE OneView"

⚠️ CRITICAL: HPE OneView vuln (CVE-2025-37164) enables unauthenticated RCE on all versions <11.00. No active exploits, but patch or hotfix ASAP. European orgs at high risk—full IT infra compromise possible. https://radar.offseq.com/threat/hpe-oneview-flaw-rated-cvss-100-allows-unauthentic-92e1896b #OffSeq #HPE #Vuln #RCE

A critical remote code execution vulnerability (CVE-2025-37164) has been discovered in HPE OneView, affecting all versions between 5.20 and 10.20. This vulnerability can be exploited by an unauthenticated user, and there is no workaround, necessitating the immediate application of a hotfix provided by HPE.
https://www.csoonline.com/article/4109162/hpe-oneview-vulnerable-to-remote-code-execution-attack.html

@christopherkunz yeah... Rapid7 have a write up, I'd love to know how HPE ended up adding this feature https://www.rapid7.com/blog/post/etr-cve-2025-37164-critical-unauthenticated-rce-affecting-hewlett-packard-enterprise-oneview/

📰 HPE Issues Urgent Patch for 10.0 CVSS RCE Flaw in OneView

‼️ URGENT: HPE has patched a critical 10.0 CVSS unauthenticated RCE flaw (CVE-2025-37164) in its OneView management tool. This flaw gives attackers the 'keys to the kingdom.' Patch immediately! 🔑 #HPE #OneView #CyberSecurity #PatchNow

🔗 https://cyber.netsecops.io/articles/hpe-patches-critical-10-0-cvss-flaw-in-oneview-management-tool/?utm_source=mastodon&utm_medium=social&utm_campaign=twitter_auto

🔥 CRITICAL: CVE-2025-14733 in WatchGuard Fireware OS (11.10.2–12.11.5, 2025.1–2025.1.3) enables remote unauthenticated code execution via VPN (IKEv2, dynamic peers). Review configs & restrict access—patches pending! https://radar.offseq.com/threat/cve-2025-14733-cwe-787-out-of-bounds-write-in-watc-6a8ed88f #OffSeq #Vulnerability #WatchGuard #InfoSec

Zero-day nei firewall WatchGuard: Una RCE senza login è già sotto sfruttamento

Una vulnerabilità zero-day critica, identificata come CVE-2025-14733, ha messo in ginocchio gli amministratori di rete, costringendoli a una corsa contro il tempo per proteggere i loro sistemi.

Questa falla, con un punteggio CVSS di 9,3 rilevata sui firewall WatchGuard, è davvero pericolosa: consente ad aggressori non autenticati di eseguire codice arbitrario e assumere il controllo dei firewall aziendali.

E il fatto che gli autori delle minacce stiano già tentando di sfruttare questa vulnerabilità non fa che aumentare l’allarme. Vediamo quindi di capire meglio cosa sta succedendo e come questa vulnerabilità possa essere sfruttata dagli aggressori.

Il processo iked, che gestisce le negoziazioni IKEv2 (Internet Key Exchange) per le VPN, presenta una vulnerabilità che risiede nella sua capacità di essere sfruttata per eseguire operazioni non previste. Gli aggressori possono, da remoto, causare un errore di tipo “Out-of-bounds Write”, il quale comporta la corruzione della memoria. Questa falla permette agli attaccanti di influenzare il comportamento del sistema.

Inviando pacchetti dannosi appositamente creati all’interfaccia VPN del firewall, un aggressore può bloccare il servizio o, peggio, iniettare i propri comandi con privilegi a livello di sistema.

Ciò che rende questa vulnerabilità particolarmente insidiosa è la sua persistenza. Prende di mira le configurazioni VPN per utenti mobili e VPN per filiali che utilizzano IKEv2. Tuttavia, disattivare semplicemente la funzionalità potrebbe non essere sufficiente.

L’avviso mette in guardia da uno scenario di configurazione “zombie”: “Se Firebox era precedentemente configurato con la VPN dell’utente mobile con IKEv2… ed entrambe le configurazioni sono state successivamente eliminate, Firebox potrebbe essere ancora vulnerabile se è ancora configurata una VPN di filiale verso un peer gateway statico”.

WatchGuard ha rilasciato specifici indicatori di attacco (IoA) per aiutare i difensori a capire se sono già sotto attacco. Gli aggressori lasciano impronte digitali nei log. Un segnale rivelatore di un tentativo di exploit è un payload di certificato insolitamente grande.

Inoltre, i seguenti indirizzi IP sono stati direttamente collegati alla campagna di sfruttamento attiva: 45.95.19[.]50, 51.15.17[.]89, 172.93.107[.]67, 199.247.7[.]82. La vulnerabilità interessa un’ampia gamma di versioni del sistema operativo Fireware, tra cui 12.x e 2025.1. WatchGuard ha rilasciato versioni con patch (2025.1.4, 12.11.6 e 12.5.15) e sollecita aggiornamenti immediati.

Tuttavia, applicare una patch al software è solo il primo passo. Poiché la falla consente la compromissione totale del dispositivo, un dispositivo con patch potrebbe comunque nascondere segreti rubati.

L'articolo Zero-day nei firewall WatchGuard: Una RCE senza login è già sotto sfruttamento proviene da Red Hot Cyber.

Analysis of CVE-2025-14733, a critical WatchGuard Firebox security vulnerability. Learn why unauthenticated RCE persists even after deleting vulnerable VPN configurations.

#SecurityLand #CyberWatch #ZeroDay #Watchguard #SecurityVulnerability #Firewall #CVE

Read More: https://www.security.land/watchguard-cve-2025-14733-critical-vulnerability-analysis/

📰 Actively Exploited RCE Flaw in WatchGuard Firewalls Puts Networks at Risk

📢 URGENT: WatchGuard warns of active exploitation of a critical RCE flaw (CVE-2025-14733, CVSS 9.3) in Fireware OS. Firebox firewalls with IKEv2 VPNs are at risk. Patch immediately to protect your network perimeter! 🔥 #WatchGuard #CyberAttack #VPN

🔗 https://cyber.netsecops.io/articles/watchguard-warns-of-actively-exploited-critical-firewall-rce-flaw/?utm_source=mastodon&utm_medium=social&utm_campaign=twitter_auto

📰 China-Linked Hackers Exploit Critical Cisco Email Gateway Zero-Day

🇨🇳 A China-linked APT is exploiting a critical 10.0 CVSS zero-day (CVE-2025-20393) in Cisco Email Gateways for root-level RCE. CISA has added it to the KEV catalog. Patch immediately! 🛡️ #ZeroDay #Cisco #CyberSecurity #APT

🔗 https://cyber.netsecops.io/articles/china-linked-apt-exploits-cisco-email-gateway-zero-day/?utm_source=mastodon&utm_medium=social&utm_campaign=twitter_auto

La prima CVE del codice Rust nel kernel Linux è già un bug critico

Il mondo della tecnologia è un vero e proprio campo di battaglia, dove i geni del coding sfidano ogni giorno i malintenzionati a colpi di exploit e patch di sicurezza. Ecco perché la recente scoperta di una vulnerabilità nel kernel Linux è una notizia che ha fatto scalpore nel mondo dell’informatica: una falla di sicurezza, ufficialmente riconosciuta come CVE-2025-68260, è stata individuata e corretta nel kernel Linux.

In pratica, questa vulnerabilità, riguardante il driver Android Binder riscritto in Rust, avrebbe potuto creare non pochi problemi agli utenti Linux, come crash di sistema nel caso peggiore. L’importanza della scoperta risiede nel fatto che rappresenta la prima CVE formalmente assegnata al codice Rust nel kernel principale.

Per chi fosse interessato ad approfondire la questione, Greg Kroah-Hartman è stato determinante per segnalare e risolvere il problema. Insomma, niente panico, la falla è stata fixata ma l’episodio offre spunti interessanti per chi è appassionato di sicurezza digitale e sviluppo del kernel Linux.

Al centro del bug c’è un’operazione non sicura all’interno dell’implementazione di Binder basata su Rust, in cui un elemento viene rimosso da una lista concatenata mentre un altro thread può manipolare contemporaneamente gli stessi puntatori prev/next. Il progetto presupponeva che un oggetto NodeDeath non sarebbe mai apparso in una lista “esterna”; in pratica, tuttavia, si è verificato uno scenario in cui lo stesso elemento poteva essere elaborato simultaneamente da più contesti.

Il problema derivava dalla logica di Node::release: veniva acquisito un blocco, tutti gli elementi venivano spostati in un elenco temporaneo basato su stack, il blocco veniva rilasciato e quindi l’elenco locale veniva attraversato. Se, in parallelo, un altro thread invocava una rimozione non sicura sull’elenco originale, si verificava una condizione di competizione che corrompeva i puntatori prev/next, causando infine corruzione della memoria e crash del kernel. Un esempio di errore citava “Impossibile gestire la richiesta di paging del kernel” nel modulo rust_binder.

La correzione ha comportato la riscrittura di Node::release per estrarre gli elementi direttamente dall’elenco originale, eliminando del tutto l’elenco intermedio basato sullo stack. Secondo il team CVE del kernel Linux, il problema è stato introdotto in Linux 6.18 (commit eafedbc7c050c44744fbdf80bdf3315e860b7513) e risolto in 6.18.1 (3428831264096d32f830a7fcfc7885dd263e511a), così come in 6.19-rc1 (3e0ae02ba831da2b707905f4e602e43f8507b8cc). Il file interessato è drivers/android/binder/node.rs.

Il team CVE del kernel Linux suggerisce fortemente di passare a una versione stabile del kernel corrente come strategia di riduzione dei rischi: le modifiche individuali non sono soggette a test distinti e l’applicazione mirata di patch non riceve supporto ufficiale. Qualora non sia possibile eseguire l’aggiornamento, è possibile individuare le correzioni adatte consultando i commit menzionati nel repository del ramo stabile.

L'articolo La prima CVE del codice Rust nel kernel Linux è già un bug critico proviene da Red Hot Cyber.

Yooo @yeslikethefood wrote a neat bunch of words about developing an exploit for Gladinet Triofox CVE-2025-12480 that closely followed the real-world attack pattern Mandiant wrote about last month and attributed to UNC6485.

20+ requests, an AV config trigger, and an embedded PostgreSQL server later:

https://www.vulncheck.com/blog/triofox-exploit-cve-2025-12480

#PoC for CVE-2025-65945 (Improper Verification of Cryptographic Signature in node-jws)

https://github.com/jedisct1/CVE-2025-65945-poc

🚨 CRITICAL vuln: CVE-2025-65041 in Microsoft Partner Center enables unauthenticated remote privilege escalation (CVSS 10). No patch yet—segment networks, enforce MFA, and monitor for abuse. Stay updated! https://radar.offseq.com/threat/cve-2025-65041-cwe-285-improper-authorization-in-m-738f9e8a #OffSeq #Microsoft #CloudSecurity #CVE2025_65041