Hewlett-Packard Enterprise(HPE)は、アクセスポイントでのArubaのインスタントで、ハードコーディングされた資格情報に関する重要な警告を発行しました。これにより、攻撃者は認証をバイパスし、管理制御を獲得できます。これらのアクセスポイントは、中小企業向けに設計されており、クラウドおよびモバイルアプリ管理を備えたエンタープライズグレードの機能を提供しています。
CVE-2025-37103と識別されるセキュリティの脆弱性は、9.8の重要なCVSS V3.1スコアを抱えています。ファームウェアバージョン3.2.0.1以前を実行しているアクセスポイントに即座に影響します。 HPEは、「ハードコーディングされたログイン資格情報がアクセスポイントのHPEネットワーキングインスタントで見つかったため、通常のデバイス認証をバイパスできるようにする」と述べました。この欠陥の搾取の成功は、資格情報がファームウェアに組み込まれているため、リモートの攻撃者にシステムへの完全な管理アクセスを許可する可能性があり、情報に基づいたアクターにとって発見が比較的簡単になります。
管理者アクセスを使用すると、攻撃者はアクセスポイント設定を変更したり、セキュリティプロトコルを再構成したり、バックドアをインストールしたり、ネットワークトラフィックをキャプチャして秘密の監視を行いたり、ネットワーク内の横方向の動きを試みることができます。脆弱性は、ZZとして知られるUbisectech Siriusチームセキュリティ研究者によって発見および報告されました。
HPEは、影響を受けるデバイスのユーザーに、回避策が利用できないため、リスクを軽減するためにファームウェアバージョン3.2.1.0または新しいようにアップグレードするように強くアドバイスします。 HPEは、CVE-2025-37103がスイッチに即座に影響を与えないことを明らかにしました。
同様に、HPEは2番目の高強度の脆弱性であるCVE-2025-37102を強調しました。この欠陥には、アクセスポイント上のアルバインスタントのコマンドラインインターフェイス(CLI)で見つかった認証されたコマンドインジェクションの脆弱性が含まれます。 CVE-2025-37102では、搾取のために管理アクセスが必要ですが、CVE-2025-37103で連鎖することができます。悪用された場合、脅威アクターがCLIに任意のコマンドを注入できるようになり、データの剥離、セキュリティ無効化、システム内の持続性の確立に潜在的につながる可能性があります。この問題は、ファームウェアバージョン3.2.1.0以降にアップグレードすることで解決されます。
現在のところ、HPE Arubaネットワーキングには、これら2つの脆弱性が野生で悪用されているという報告はありません。ただし、同社は、この状況が急速に変化する可能性があるため、セキュリティの更新をすぐに適用することの重要性を強調しています。
Source: アルバアクセスポイントには大きなセキュリティホールがあります
