Hewlett Packard Enterprise(HPE)は最近、Aruba Networking Private 5G Coreソフトウェアにおける重大な欠陥を公表しました。
これらの問題により、隣接ネットワーク上のリモート攻撃者が特権を昇格させ、サービス拒否(DoS)攻撃を開始することが可能になります。アドバイザリHPESBNW05002は、2026年2月10日に公開されました。
4つの脆弱性は、HPE Aruba Networking Private 5G Coreバージョン1.24.3.0から1.24.3.3に影響を及ぼします。
これらはアプリケーションおよび管理APIの欠陥に起因しており、認証なしでの悪用を可能にします。回避策は存在しないため、アップグレードが不可欠です。
CVE-2026-23595は最も深刻で、CVSSスコアは8.8(高)です。アプリケーションAPIにおける認証バイパスを許可し、攻撃者が設定変更やデータ操作を含む完全な制御のために管理者アカウントを作成できるようにします。攻撃者は隣接ネットワークアクセス(AV:A)を必要とします。
CVE-2026-23596(CVSS 6.5、中)は、管理API経由でのDoSを可能にします。認証されていないユーザーがサービスの再起動を強制でき、5Gコアの可用性を中断させます。
CVE-2026-23597とCVE-2026-23598(両方ともCVSS 6.5、中)は、APIエラーを通じてユーザーアカウント、役割、設定などの機密情報を漏洩させます。これは他の脆弱性と組み合わせた場合、さらなる攻撃を支援します。
HPEのポータル経由で1.25.1.0以降にアップグレードしてください。隣接アクセスをブロックするためにネットワークをセグメント化してください。異常がないかAPIトラフィックを監視してください。HPEは5Gインフラストラクチャの整合性を保護するために迅速な対応を求めています。
翻訳元: https://cyberpress.org/hpe-aruba-networking-vulnerability/