Hewlett-Packard Enterprise(HPE)は、Aruba Instant On Access Pointにハードコードされた認証情報が含まれており、攻撃者が通常のデバイス認証を回避してWebインターフェースにアクセスできることを警告しています。
Aruba Instant On Access Point は、主に中小企業向けに設計されたコンパクトなプラグアンドプレイ無線(Wi-Fi)デバイスで、エンタープライズグレードの機能(ゲストネットワーク、トラフィックセグメンテーション)とクラウド/モバイルアプリ管理を提供します。
このセキュリティ問題は、CVE-2025-37103として追跡され、「クリティカル」(CVSS v3.1スコア:9.8)と評価されており、ファームウェアバージョン3.2.0.1以下を実行しているInstant On Access Pointに影響を与えます。
「HPE Networking Instant On Access Point では、ハードコードされたログイン認証情報が見つかっており、この情報を知っている人は、通常のデバイス認証をバイパスすることができます。
「悪用に成功すると、リモートの攻撃者がシステムへの管理アクセスを得ることができる。
管理者認証情報はファームウェアにハードコードされているため、知識のある行為者にとっては、それを発見することは些細なことです。
攻撃者は、管理者としてウェブ・インターフェイスにアクセスすることで、アクセス・ポイントの設定を変更したり、セキュリティを再設定したり、バックドアを設置したり、トラフィックをキャプチャしてステルス監視を行ったり、あるいは横方向の移動を試みたりすることができる。
この脆弱性は、Ubisectech Sirius Teamのセキュリティ研究者がZZという偽名を使って発見し、ベンダーに直接報告した。
脆弱性のあるデバイスのユーザーは、このリスクに対処するため、ファームウェアのバージョンを3.2.1.0以降にアップグレードすることが推奨される。HPEは回避策を提示していないため、パッチ適用が推奨される。
なお、CVE-2025-37103はInstant Onスイッチには影響しないことが、同公報で明らかにされている。
HPE は同公報で、2 つ目の脆弱性 CVE-2025-37102 を強調している。これは、Aruba Instant On アクセスポイントのコマンドラインインターフェイス(CLI)に存在する、重大度の高い認証コマンドインジェクションの欠陥です。
この欠陥は、CVE-2025-37103 と連鎖する可能性があります。この欠陥の悪用には管理者アクセスが必要であるため、脅威者は CLI に任意のコマンドを注入して、データの流出、セキュリティの無効化、および永続性の確立を行うことができます。
この場合も、ファームウェアをバージョン 3.2.1.0 以降にアップグレードすることで問題は解決し、回避策はありません。
現時点では、HPE Aruba Networking は、この 2 つの欠陥が悪用されたという報告を把握していない。ただし、この状況はすぐに変わる可能性があるため、セキュリティ更新プログラムを直ちに適用することが重要です。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; /*object-fit: cover;*/ border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
ダミーのためのクラウド検知と対応
新たな脅威がビジネスに影響を及ぼす前に、リアルタイムで対処します。
この実用的でナンセンスなガイドで、クラウド検知と対応(CDR)がセキュリティチームにどのような優位性をもたらすかを学びましょう。
Comments