広く導入されているエンタープライズスイッチングハードウェアの認証不要なパスワードリセット脆弱性は、ほぼ最大のセバリティスコアを持つ
HPE Aruba Networkingは、AOS-CXスイッチソフトウェアの5つの脆弱性のパッチをリリースしました。最も深刻なものは、リモート攻撃者がエンタープライズネットワークスイッチの管理者制御を認証情報なしで引き継ぐことを可能にする可能性があります。
重大な脆弱性CVE-2026-23813は、CVSSv3.1スケールで10点中9.8点を獲得しました。火曜日にHPEが公開したセキュリティアドバイザリによると、この脆弱性はAOS-CXスイッチのウェブベース管理インターフェイスに存在します。これを悪用するために認証、権限、ユーザーインタラクションを必要とせず、完全にネットワーク経由で引き起こすことができます。
「AOS-CXスイッチのウェブベース管理インターフェイスで、認証されていないリモートアクターが既存の認証制御を回避できる可能性のある脆弱性が特定されました」とHPEはセキュリティアドバイザリで述べています。「場合によっては、これは管理者パスワードのリセットを可能にする可能性があります。」
「moonv」として特定されたセキュリティ研究者が、HPE Aruba Networkingのバグ報酬プログラムを通じてこの脆弱性を発見し報告しました。
同じアドバイザリは、AOS-CXコマンドラインインターフェイスの3つのさらなる脆弱性をカバーしており、すべてが高セバリティと評価されており、ウェブインターフェイスのミディアム評価のオープンリダイレクト欠陥も含まれています。
CLIコマンドインジェクション欠陥がリスクを追加
3つのCLI脆弱性はすべてコマンドインジェクションを含みますが、それらを悪用するために攻撃者が必要なアクセスレベルが異なります。
CVE-2026-23814は8.8点で評価され、低レベルの認証済みアクセスのみが必要です。最小限の権限を持つリモート攻撃者は、CLIコマンド内のパラメータを通じて悪意のあるコマンドを注入でき、望ましくない動作につながる可能性があります。イタリアの国家サイバーセキュリティ機関がこの欠陥を発見し報告しました。
他の2つのCLI欠陥であるCVE-2026-23815とCVE-2026-23816は、両方とも7.2点で評価されており、より高い管理権限が必要ですが、それでも認証済みの攻撃者が基盤となるオペレーティングシステム上で任意のコマンドを実行できるようにします。5番目の脆弱性であるCVE-2026-23817は、ミディアム評価で6.5点で、認証されていない攻撃者がウェブ管理インターフェイスを通じてユーザーを任意のURLにリダイレクトできることを可能にします。
「このAruba脆弱性の悪用は、攻撃者にAOS-CXネットワークデバイスの完全な制御と、システム全体を検出されないまま侵害する能力を与える可能性があります」とCorsica TechnologiesのCISO、Ross Filipek氏は述べています。「成功した侵害は、ネットワーク通信の中断または重要なビジネスサービスの整合性の低下につながる可能性があります。この欠陥は、今日のハイパーコネクテッド世界でネットワークデバイスの脆弱性がより一般的になっていることを思い出させます。攻撃者がこれらのデバイスへの特権アクセスを獲得すると、組織に大きなリスクをもたらします。」
HPE Aruba Networkingは、アドバイザリで、公開時点で「これらの特定の脆弱性を対象とする公開的な議論または悪用コードを認識していない」と述べています。しかし、脆弱性は、キャンパスとデータセンター環境の両方にわたるAOS-CXデプロイメントの広い範囲に影響を及ぼします。
露出はキャンパスからデータセンタースイッチングまで及ぶ
脆弱性は、エントリーレベルのキャンパススイッチからデータセンタークラスのハードウェアまで、4つのアクティブバージョンブランチにわたってAOS-CXソフトウェアに影響を及ぼします。アドバイザリ公開前にサポート終了に達したバージョンも脆弱であることが予想されます。AOS-CX 10.17.0001以下、10.16.1020以下、10.13.1160以下、または10.10.1170以下を実行している組織が影響を受けます。
この開示は、最近のHPEセキュリティアドバイザリの一連に続くものです。2025年12月、HPEはOneViewインフラストラクチャ管理ソフトウェアの最大セバリティのリモートコード実行(RCE)欠陥をパッチしました。これはバージョン5.20から10.20のすべてに影響を及ぼしていました。数週間後、CISAはその欠陥を既知の悪用脆弱性カタログに追加し、連邦民間機関がパッチを適用するための1月28日の期限を設定しました。
パッチ適用前に何をするべきか
アドバイザリは、スイッチ管理インターフェイスを専用のレイヤー2セグメントまたはVLANに分離し、認可されたホストへのアクセスを制限するためにレイヤー3以上でファイアウォールポリシーを実施し、スイッチド仮想インターフェイスとルーテッドポート上でHTTPおよびHTTPSインターフェイスを無効化することを推奨しています。管理アクセスが不要な場所です。
RESTおよびHTTPSエンドポイント上のコントロールプレーンアクセスコントロールリストの実施と、管理インターフェイスアクティビティの包括的なログを有効化することも推奨されています。「HPE Aruba Networkingは、メンテナンス終了(EoM)マイルストーンに達したソフトウェアブランチを評価またはパッチしません」とアドバイザリは述べています。
