概要
Hewlett Packard Enterprise (HPE)は、そのTelco Service Activator製品における深刻な脆弱性について顧客に警告しました。この脆弱性により、攻撃者がリモートでアクセス制御をバイパスする可能性があります。
詳細情報
HPEは、この脆弱性がCVE-2025-12543として識別され、CVSSベーススコア9.6(Critical)を持つと発表しました。これは、バージョン10.5.0未満の影響を受けます。
脆弱性の詳細
この脆弱性は、入力検証が不適切であるため、攻撃者がサーバーのHTTP要求処理を操作し、非承認アクセスや機密データの漏洩、部分的なシステム侵害につながる可能性があります。
原因
HPE Product Security Response Teamによると、この問題はUndertow HTTPサーバー核で発生します。これは、入力HTTP要求のHostヘッダーを適切に検証しないことが原因です。
影響範囲
CVE-2025-12543は、通信事業者がサービスプロビジョニングを自動化するために使用するHPE Telco Service Activatorデプロイメントに影響を与えます。このプラットフォームがサービスワークフローの管理で中心的な役割を果たすため、これが悪用された場合、ネットワークオペレーターに対して重大な運用やセキュリティ上の影響がある可能性があります。
対策
HPEは、この脆弱性を「リモートアクセス制御バイパス」と説明しています。これは、認証されていない攻撃者が悪意のあるHTTP要求を作成し、サーバー上で実装されたアクセスコントロールをバイパスする可能性があることを意味します。
リスク軽減
- HPEはTelco Service Activatorバージョン10.5.0をリリースしました。これにより、CVE-2025-12543が修正されました。
- 以前のバージョンを使用しているユーザーは、直ちにアップグレードすることを強く推奨します。
HPEは、組織がサードパーティセキュリティパッチと更新を適用する際には、標準のパッチ管理ポリシーに従うべきであると強調しています。管理者は、HPE Telco Service Activatorのネットワーク露出をレビューし、管理インターフェースへのアクセスを制限し、HPE公式サポートポータルから最新の更新プログラムを適用する必要があります。
結論
HPE Telco Service Activatorのこの脆弱性は深刻なセキュリティリスクをもたらします。ユーザーは早急に対策を講じ、影響を最小限に抑えるべきです。