ハッカーがArista Extensible Operating System(EOS)の脆弱性をゼロデイとして悪用しており、パッチの提供は予定されていません。
Arista EOSは、モジュール型のLinuxベースのネットワークオペレーティングシステムで、データセンター、クラウド、エンタープライズ環境向けの同社製高性能スイッチ向けに設計されています。
CVE-2026-7473(CVSSスコア6.9)として追跡されているこのセキュリティ欠陥は、特定の構成においてトンネルプロトコルタイプの検証が行われないために存在しており、設定されていないトンネルトラフィックが処理される可能性があります。
この脆弱性は、decap-groups、GRE(Generic Routing Encapsulation)トンネルインターフェース、VXLAN(Virtual Extensible LAN)といったデカプセル化IPを持つトンネルエンドポイントとして設定されたArista EOS搭載デバイスでのみ発生します。
「特定のトンネルタイプをデカプセル化するよう設定されたデバイスは、明示的に設定されていない場合であっても、同一のIPアドレス宛の他のトンネルプロトコルを誤って受け入れ、デカプセル化してしまいます」とAristaは説明しています。
同社によると、このセキュリティ欠陥は7020R、7280R/R2、7500R/R2シリーズ製品に影響するとのことです。一部のIP-in-IPv6およびGUE IPV6デカプセル化グループのシナリオは、7280R3、7500R3、7800R3シリーズのデバイスにも適用されます。
「この問題は実際に悪用されているとの報告が寄せられています」と、Aristaは5月の勧告で述べています。
同社は詳細な緩和手順を公開していますが、この脆弱性に対処するためのパッチやホットフィックスはリリースしないと説明しています。
「既存の展開環境における設定を破壊するリスクがあるため、この問題に対処するためのソフトウェアアップグレードパスは予定していません。推奨される解決策は、適切な緩和手順に従うことです」とAristaは述べています。
火曜日、米国のサイバーセキュリティ機関CISAはCVE-2026-7473を「既知の悪用された脆弱性(KEV)」リストに追加し、連邦機関に対して2週間以内に対処するよう求めました。
CISAはさらに、最近公開された2件の脆弱性についてもKEVリストに追加しています。Chrome(CVE-2026-11645)とCisco SD-WAN(CVE-2026-20245)の各脆弱性で、いずれもゼロデイとして実際に悪用されています。
翻訳元: https://www.securityweek.com/no-patch-planned-for-exploited-arista-eos-vulnerability/
