TokyoBlackHatNews

cyberpress.org 4分で読了

HPE Arubaの脆弱性により機密データへの不正アクセスが可能に

Hewlett Packard Enterpriseは、Aruba Networking Instant Onデバイスに存在する4件の高深刻度の脆弱性を開示しました。これらの脆弱性により、攻撃者が機密性の高いネットワーク情報にアクセスしたり、サービスを妨害したり、場合によってはメモリ破損を引き起こしたりする可能性があります。

CVE-2025-37165CVE-2025-37166CVE-2023-52340CVE-2022-48839として特定されたこれらのセキュリティ上の欠陥は、ソフトウェアバージョン3.3.1.0以前を実行しているデバイスに影響します。

これらの脆弱性のCVSSスコアは5.5〜7.5の範囲で、うち3件は「高」深刻度に分類されています。HPEはこれらの問題に対処するためソフトウェアバージョン3.3.2.0をリリースし、自動更新は2025年12月10日の週に開始されました。

影響を受けるInstant Onアクセスポイントおよびスイッチを使用している組織は、ファームウェアバージョンを確認し、デバイスがセキュリティパッチを受け取っていることを確実にする必要があります。

最も重大な脆弱性であるCVE-2025-37165は、デバイスがルーターモードで動作している際に、意図しないネットワークインターフェースを通じてVLAN設定情報を露出させます。

この欠陥により、認証されていないリモート攻撃者が、影響を受けるパケットを解析することで内部ネットワークのトポロジーや設定の詳細を把握でき、標的型攻撃に向けた偵察を容易にする可能性があります。

Quora.orgのDaniel J. Bluemanによって発見されたこの情報漏えいの脆弱性のCVSSスコアは7.5です。

CVE-2025-37166は、HPE Instant Onアクセスポイントで予期しないシャットダウンを引き起こし、サービス拒否(DoS)攻撃を可能にします。

特別に細工されたパケットを処理すると、影響を受けるデバイスは応答しない状態に陥り、サービスを復旧するには物理的なハードリセットが必要になる場合があります。

GreyCortexのChelmarが報告したこの脆弱性も、ネットワーク経由で到達可能で、低い複雑性で悪用できる経路であることから、CVSSスケールで7.5のスコアとなっています。

残る2件の脆弱性(CVE-2023-52340およびCVE-2022-48839)は基盤となるOSカーネルに存在し、IPv4およびIPv6のパケット処理に影響します。

これらの欠陥は、通常のデバイス動作中にサービス拒否状態やメモリ破損を引き起こす可能性があります。

CVE-2023-52340のスコアは7.5である一方、CVE-2022-48839はローカルアクセスと権限が必要なため、CVSSスコアは5.5と低くなっています。

セキュリティ情報は、ソフトウェアバージョン3.3.1.0以前を実行しているHPE Networking Instant OnアクセスポイントおよびAruba Instant On 1930スイッチシリーズを脆弱であると具体的に特定しています。

他のHPE Networking製品もこれら脆弱性の影響を受けます。HPEは4件いずれの欠陥についても回避策を提供しておらず、パッチ適用が唯一実行可能な緩和策となります。

HPE Networking Instant Onデバイスは、2025年12月10日の週にバージョン3.3.2.0への自動更新の受信を開始しました。

デバイスがまだ更新されていない場合、顧客はInstant OnモバイルアプリケーションまたはWebポータルから手動でアップグレードを実行できます。

HPEは、サポート終了(End of Support Life)に達した製品にはパッチが提供されないことを強調し、顧客に対して同社の公式ドキュメントでサポート状況を確認するよう促しています。

ネットワーク管理者は、すべてのHPE Networking Instant Onデバイスを直ちに棚卸しし、バージョン3.3.2.0以降にアップグレードされていることを確認すべきです。

組織は、悪用の試みを示す可能性のある予期しない再起動やシャットダウンがないか、デバイスログを監視する必要があります。

HPEは勧告の公開日時点で公に知られた議論やエクスプロイトコードはないと報告していますが、悪用要件が単純であるため、これらの脆弱性は攻撃者にとって魅力的な標的となります。

セキュリティチームはネットワークセグメンテーション戦略も見直すべきです。CVE-2025-37165により、VLAN設定が権限のない第三者に露出する可能性があるためです。

追加のアクセス制御を実装し、不審なパケットパターンを監視することで、すべてのデバイスに完全にパッチが適用されるまでの間、潜在的な悪用の試みを検知する助けとなる可能性があります。

翻訳元: https://cyberpress.org/hpe-aruba-flaws/

ソース: cyberpress.org
#Aruba Instant On #CVE-2025-37165 #CVE-2025-37166 #HPE #VLAN #サービス妨害(DoS) #ネットワーク機器 #ファームウェアアップデート #情報漏えい #脆弱性

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に