ヒューレット・パッカード・エンタープライズ(HPE)は、テレコムネットワークを不正アクセスにさらすテレコサービスアクティベータソフトウェアの重大な脆弱性を公開しました。
CVE-2025-12543として追跡されているこの欠陥は、基盤となるUndertow HTTPサーバーコアの不適切な入力検証に起因しています。
攻撃者は、改ざんされたHostヘッダーを持つ悪意のあるHTTPリクエストを作成して、リモートアクセス制限をバイパスすることでこれを悪用できます。
HPEは2026年2月19日にセキュリティ速報HPESBNW05011をリリースし、ユーザーに直ちにパッチを適用するよう促しています。CVSS v3.1ベーススコアが9.6であるこの高リスク問題は、今年最も緊急のテレコム脅威の中でもトップクラスです。
この脆弱性は、HPEテレコサービスアクティベータに組み込まれたUndertow HTTPサーバーが、受け取るリクエスト内のHostヘッダーを適切に検証しないために生じています。
これにより、特権を持たないリモート攻撃者がサーバーを騙して不正なリクエストを処理させることができます。
HPEの速報によれば、悪用には、被害者を悪意のあるサイトにアクセスするよう騙すなどのユーザーインタラクションが必要です。
しかし、攻撃ベクトルはネットワークからアクセス可能(AV:N)なままであり、複雑さは低い(AC:L)であり、前提条件が不要(PR:N)です。
CSSベクトルCVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:Lは、高い機密性と完全性への影響、および低い可用性への中断に分類され、すべてが変更されたスコープ(S:C)の下にあります。
実際には、成功した悪用により、攻撃者は機密のテレコム構成データにアクセスしたり、サービスアクティベーションを変更したり、ネットワークインフラストラクチャをより深く侵害したりできる可能性があります。
テレコムオペレーターはテレコサービスアクティベータに依存して、モバイルネットワークと固定ネットワーク全体でサービスをプロビジョニングおよび管理しており、これは破壊またはスパイ活動の主要な対象になります。
10.5.0より前のバージョンのみが影響を受けます。HPEは回避策が存在しないことを確認し、迅速なアップグレードの必要性を強調しています。
この欠陥は、ApacheやNginxなどのツールでリクエストスマグリングを可能にした過去のサーバー設定ミスに類似した、HTTPパーシングライブラリのより広い範囲のリスクを反映しています。
侵害されたアクティベーターが課金システム、顧客データ、さらには5Gコア機能に拡散する可能性があるため、テレコムはここでより高いリスクに直面しています。
HPEはテレコサービスアクティベータバージョン10.5.0で問題を解決し、標準的なアップデートチャネルを通じて利用可能です。ユーザーは、速報の対応バージョンリストに対して展開を検証し、ポリシーに従ってパッチを適用する必要があります。
Undertowなどのサードパーティコンポーネントについて、HPEはベンダーのガイダンスに従うことをお勧めします。すぐにパッチを適用できない組織は、影響を受けたインスタンスを隔離し、ログ内のHostヘッダーの異常を監視し、ファイアウォール経由の外部アクセスを制限する必要があります。
この開示は、重要インフラを標的とした国家支援型およびサイバー犯罪の増加に伴い、テレコソフトウェアスタックの継続的な精査を浮き彫りにしています。
テレコムプロバイダーは、特にエッジとオーケストレーションレイヤーでのすべてのHPE展開を今すぐ監査する必要があります。
パッチ適用の遅延は、サービス停止またはデータ侵害のリスクがあり、GDPRやインドのDPDP法などの規制に違反する可能性があります。5Gロールアウトが加速するにつれ、そのような欠陥はサービス管理ツールでの厳格な入力検証の必要性を強調しています。
要約すると、CVE-2025-12543はテレコムの復興力を保護するための優先アクションを要求しています。
翻訳元: https://cyberpress.org/hpe-telco-activator-vulnerability-exposed/