HPE Aruba Networkingは、Private 5G Core Platformにおける複数の脆弱性に対処する重要なセキュリティアドバイザリを発行しました。これらの脆弱性により、攻撃者は不正な管理者アカウントの作成、サービスの妨害、および機密システム情報へのアクセスが可能になります。
CVE-2026-23595、CVE-2026-23596、CVE-2026-23597、CVE-2026-23598として追跡されているこれらの欠陥は、Communications Security Establishment(CSE)によって発見され、プラットフォームのバージョン1.24.3.0から1.24.3.3に影響を及ぼします。
重大な認証バイパス脆弱性
最も深刻な脆弱性であるCVE-2026-23595は、CVSSスケールで8.8のスコアを記録し、アプリケーションAPIにおける認証バイパスを伴います。
この高重要度の欠陥により、認証されていないリモート攻撃者が、いかなる承認もなしに特権ユーザーアカウントを作成することが可能になります。
| CVE ID | 脆弱性タイプ | CVSSスコア | 影響 |
|---|---|---|---|
| CVE-2026-23595 | アプリケーションAPIにおける認証バイパス | 8.8(高) | 不正な管理者アカウント作成、特権昇格 |
| CVE-2026-23596 | 管理APIにおける不適切なアクセス制御 | 6.5(中) | サービス妨害、強制再起動によるサービス拒否 |
| CVE-2026-23597 | APIエラー処理における情報漏洩 | 6.5(中) | ユーザーアカウント、役割、システム構成詳細の露出 |
| CVE-2026-23598 | APIエラー処理における情報漏洩 | 6.5(中) | 内部サービス、ワークフロー、機密データの露出 |
攻撃の成功により、攻撃者はシステム構成の変更、機密データの操作、およびネットワーキングインフラストラクチャに対する永続的な制御を取得する可能性のある管理者アクセスを獲得します。
攻撃ベクトルには隣接ネットワークアクセスが必要ですが、ユーザーの操作は不要であるため、企業環境や産業環境では特に危険です。
CVSSスコア6.5の中重要度と評価されたCVE-2026-23596は、管理APIにおける不適切なアクセス制御により、認証されていない攻撃者がサービスの再起動をトリガーすることを可能にします。
この脆弱性は、重要なネットワーキングサービスを妨害し、システムの可用性に悪影響を及ぼし、運用のダウンタイムを引き起こす可能性があります。
一方、CVE-2026-23597およびCVE-2026-23598は、APIエラー処理の欠陥を通じて機密システム情報を露出します。
攻撃者はこれらの脆弱性を利用して、ユーザーアカウント、役割、システム構成、内部サービスワークフローに関する詳細を取得し、高度な多段階攻撃のリスクを高めます。
これらの脆弱性は、HPE Aruba Networking Private 5G Coreバージョン1.24.3.0、1.24.3.1、1.24.3.2、および1.24.3.3にのみ影響します。
バージョン1.24.2.2以下、およびバージョン1.25.1.0以上は影響を受けません。
HPEは強く推奨しています、脆弱なバージョンを実行している組織は、これらのセキュリティリスクを軽減するために、バージョン1.25.1.0以降に直ちにアップグレードすることを。
パッチは、HPEのEnterprise Licenseポータル(myenterpriselicense.hpe.com)から入手できます。
これらの脆弱性に対する回避策は利用できないため、パッチ適用が唯一の効果的な防御戦略となります。
翻訳元: https://gbhackers.com/hpe-aruba-flaw-exposes-networking-devices/
