Net-SNMPのsnmptrapdデーモンに存在する重大なバッファオーバーフロー脆弱性により、リモート攻撃者は細工されたパケットを送信することでサービスをクラッシュさせることができ、企業環境全体におけるネットワーク監視運用を妨害する可能性があります。
この欠陥はCVE-2025-68615として追跡されており、最近リリースされたパッチ適用版より前のすべてのNet-SNMPバージョンに影響します。
Trend Micro Zero Day Initiativeと協力するセキュリティ研究者Budduridがこの脆弱性を発見し、協調的な情報開示の経路を通じて報告しました。
| 属性 | 詳細 |
|---|---|
| CVE ID | CVE-2025-68615 |
| パッケージ | Net-SNMP |
| 脆弱性の種類 | バッファオーバーフロー |
| 深刻度 | 重大 |
| CVSS v3.1 スコア | 9.8/10 |
USC/ISIの著名な貢献者であるWes Hardakerを含むNet-SNMPのメンテナは、更新リリースにより迅速にこの問題へ対処しました。
技術的影響と深刻度
この脆弱性のCVSS v3.1スコアは10点中9.8で、重大な深刻度を示しています。攻撃者は認証なしでこの欠陥を悪用でき、ユーザー操作や特別な権限も必要ありません。
攻撃ベクターはネットワーク経由であり、外部に公開されているsnmptrapdインスタンスは潜在的に脆弱となります。
CVSSの指標によれば、悪用に成功すると機密性・完全性・可用性という3つのセキュリティの柱が完全に損なわれます。
このバッファオーバーフローは、snmptrapdが悪意をもって細工されたSNMPトラップパケットを処理する際に発生し、デーモンがクラッシュして、手動で再起動されるまでネットワーク監視機能が停止します。
Net-SNMPのすべてのバージョンがこの攻撃に対して脆弱です。メンテナは、パッチ適用済みの2つのバージョン(5.9.5および5.10.pre2)をリリースしました。
本番環境でsnmptrapdを運用している組織は、この攻撃ベクターを排除するため、これらのバージョンへの即時アップグレードを最優先すべきです。
Net-SNMPはネットワーク管理インフラの基盤コンポーネントであり、SNMPプロトコルのサポートを提供して、デバイスの監視、性能データの収集、ネットワーク機器からのトラップ通知の受信を可能にします。
企業ネットワーク全体にこのライブラリが広く展開されていることが、この脆弱性の潜在的影響を増幅させます。
セキュリティ専門家は、いかなる状況でもSNMPポートを公衆ネットワークに公開すべきではないと強調しています。
しかし、脆弱な環境に対しては、即時のパッチ適用以外に有効な緩和策は存在しません。
ネットワーク分離や、信頼された管理ネットワークにsnmptrapdへのアクセスを制限するファイアウォールルールは露出を減らせますが、脆弱性そのものを排除することはできません。
組織は遅滞なくNet-SNMP 5.9.5または5.10.pre2へアップグレードしなければなりません。この欠陥の重大性に加え、ネットワーク経由で悪用可能であり認証要件がないという特性から、インフラ監視システムを担当するネットワーク管理者およびセキュリティチームによる緊急の対応が求められます。
翻訳元: https://gbhackers.com/net-snmp-vulnerability-triggers-buffer-overflow/
