ネットワークの管理と監視のために世界中で広く利用されているソフトウェアスイートNet-SNMPにおいて、重大な脆弱性が発見されました。この欠陥はCVE-2025-68615として登録されており、CVSSスコアは9.8と、ほぼ最大値に近い評価です。これは、snmptrapdサービスを使用している組織にとって高いリスクを示しています。
この脆弱性は、セキュリティ研究者budduridが、Trend MicroのZero Day Initiative(ZDI)と協力して発見しました。脆弱性は典型的なバッファオーバーフローであり、攻撃者は細工したパケットを送信するだけでデーモンを停止させ、さらに追加の被害を引き起こす可能性があります。
なお、Net-SNMPはネットワーク管理の中核コンポーネントであり、幅広いプロトコル(SNMP v1、v2c、v3、AgentX)とトランスポート方式(IPv4、IPv6、Unixソケット)をサポートしています。多くの組織にとって、サーバー、ルーター、スイッチの監視を支える基盤となっています。
Net-SNMPのメンテナは、この問題を解決するための修正版をリリースしました。ユーザーには、インストール環境を直ちに以下へ更新することが強く推奨されます:
- Net-SNMP 5.9.5
- Net-SNMP 5.10.pre2
発行されたアドバイザリによると、この欠陥は「特別に細工されたパケット」によって引き起こされます。デーモンがこの悪意ある入力を処理しようとすると、バッファオーバーフローが発生します。アドバイザリでは、これにより「デーモンがクラッシュ」し、結果としてサービス拒否(DoS)になると明記されていますが、CVSSスコア9.8は一般に、オーバーフローが巧妙に悪用された場合、リモートコード実行(RCE)など、より深刻な結果に至る可能性を示唆します。
「利用可能な緩和策は、snmptrapdへのポートがファイアウォールによって適切に保護されていることを確実にする以外にない」と、報告書は述べています。この脆弱性は具体的に、SNMPトラップメッセージ(ネットワーク機器から送信されるアラート)を受信・処理するコンポーネントであるsnmptrapdデーモンに存在します。
snmptrapdのリスナーがインターネットに公開されている場合、世界中のどこからでも攻撃を受ける可能性があります。
管理者には、SNMPトラップのデフォルトで使用されるUDP 162番ポートがファイアウォールによって厳格に保護され、管理用途として信頼できる内部のIPアドレスからのみアクセス可能であることを確認するよう推奨されます。