ヒューレット・パッカード・エンタープライズ(HPE)は、Aruba Instant Onアクセスポイントにハードコードされた認証情報が存在し、攻撃者が通常のデバイス認証をバイパスしてウェブインターフェースへアクセスできる可能性があると警告しています。
Aruba Instant Onアクセスポイントは、主に中小企業向けに設計されたコンパクトなプラグアンドプレイ型のワイヤレス(Wi-Fi)デバイスで、エンタープライズグレードの機能(ゲストネットワーク、トラフィックのセグメント化)をクラウドやモバイルアプリで管理できます。
このセキュリティ問題はCVE-2025-37103として追跡されており、「クリティカル」(CVSS v3.1スコア:9.8)と評価されています。ファームウェアバージョン3.2.0.1以下のInstant Onアクセスポイントに影響します。
「HPE Networking Instant Onアクセスポイントにハードコードされたログイン認証情報が見つかり、それを知っている者であれば通常のデバイス認証をバイパスできる」と、HPEは公式発表で説明しています。
「この脆弱性を悪用されると、リモートの攻撃者がシステムへの管理者権限を取得できる可能性があります。」
管理者認証情報がファームウェアにハードコードされているため、知識のある攻撃者にとって発見は容易です。
攻撃者が管理者としてウェブインターフェースにアクセスすると、アクセスポイントの設定変更やセキュリティ再構成、バックドアの設置、トラフィックの傍受によるステルス監視、さらには横方向への攻撃も試みることができます。
この脆弱性は、Ubisectech Sirius Teamのセキュリティ研究者(エイリアス:ZZ)によって発見され、ベンダーに直接報告されました。
脆弱なデバイスのユーザーは、リスクを解消するためにファームウェアバージョン3.2.1.0以上へアップグレードすることが推奨されています。HPEは回避策を提示していないため、パッチ適用が推奨される対応策です。
公式発表では、CVE-2025-37103はInstant Onスイッチには影響しないことが明記されています。
同じ発表で、HPEは2つ目の脆弱性CVE-2025-37102についても強調しています。これはAruba Instant Onアクセスポイントのコマンドラインインターフェース(CLI)における高深刻度の認証済みコマンドインジェクションの脆弱性です。
この脆弱性はCVE-2025-37103と組み合わせて悪用される可能性があり、管理者権限が必要ですが、攻撃者がCLIに任意のコマンドを注入し、データの持ち出しやセキュリティ無効化、永続化の確立などが可能となります。
この場合も、ファームウェアバージョン3.2.1.0以降へのアップグレードで問題が解決され、回避策はありません。
現時点で、HPE Aruba Networkingはこれら2つの脆弱性が悪用されたという報告を把握していません。しかし、状況はすぐに変わる可能性があるため、速やかにセキュリティアップデートを適用することが重要です。
クラウド検知&レスポンス入門
新たな脅威をリアルタイムで封じ込め、ビジネスへの影響を防ぎます。
クラウド検知&レスポンス(CDR)がセキュリティチームにどのような優位性をもたらすか、この実践的で率直なガイドで学びましょう。