概要:HPE Aruba Instant Onデバイスに高 severity の脆弱性
HPEは、HPE Networking Instant Onデバイスに存在する複数の高 severity の脆弱性に対するセキュリティパッチをリリースしました。これらの脆弱性が悪用されると、内部VLAN構成データが露呈したり、ワイヤレスネットワークの機能が妨害されたり、機密性の高いネットワーク情報への不正なアクセスを許してしまう可能性があります。
この問題は、ソフトウェアバージョン3.3.1.0以前を実行しているInstant Onアクセスポイントおよび1930スイッチに影響を与えます。修正プログラムはバージョン3.3.2.0以降で利用可能です。
詳細:VLAN情報漏洩の脆弱性 (CVE-2025-37165)
HPEのセキュリティ情報HPESBNW04988によると、最も重大な脆弱性であるCVE-2025-37165は、HPE Networking Instant Onアクセスポイントのルーターモード構成に存在します。これは、意図しないネットワークインターフェースを介してVLAN情報が漏洩する原因となります。
- デバイスがルーターモードで動作している場合、細工されたトラフィックによって、通常はこの情報を開示すべきではないパケットを通じて、VLAN識別子やセグメンテーション設計などの内部ネットワーク構成の詳細が漏洩する可能性があります。
- この脆弱性は、認証やユーザーインタラクションなしにネットワーク経由でリモートから悪用可能であり、CVSS v3.1スコアは7.5と評価されています。高い機密性への影響があるものの、直接的な整合性や可用性への影響はないとされています。
- HPEは、影響を受けるインターフェース上のトラフィックを監視または挿入できる悪意のある行為者が、漏洩したVLANおよびトポロジーデータを使用して内部セグメントをマッピングし、さらなる水平移動やネットワークの機密部分に対する標的型攻撃を計画する可能性があると警告しています。
- この問題には回避策がなく、Quora.orgのDaniel J Blueman氏によって発見・報告されました。
詳細:サービス妨害の脆弱性 (CVE-2025-37166)
2つ目の高 severity の脆弱性であるCVE-2025-37166は、HPE Networking Instant Onアクセスポイントに影響を与えます。デバイスが特別に細工されたネットワークパケットを処理する際にトリガーされる可能性があります。
- 悪用が成功すると、アクセスポイントが応答不能な状態に陥ることがあり、サービスを復元するためにハードリセットが必要になる場合があります。これにより、攻撃者はWi-Fiインフラストラクチャに対してリモートからのサービス拒否攻撃を効果的に実行できます。
- この問題はGreyCortexのPetr Chelmar氏によって発見され、CVSS v3.1スコアは7.5と評価されており、データや整合性ではなく可用性への影響が強調されています。
詳細:カーネルレベルの複数脆弱性 (CVE-2023-52340, CVE-2022-48839)
さらに、HPE Instant Onデバイスは、基盤となるオペレーティングシステムカーネルにおける複数のパケット処理の問題(CVE-2023-52340およびCVE-2022-48839)の影響を受けています。
- これらのカーネルレベルのバグは、IPv4およびIPv6パケット処理に起因し、通常のデバイス動作中にサービス拒否状態やメモリ破損につながる可能性があります。
- これらも高 severity と評価されており、個々のCVEと攻撃ベクトルに応じてCVSSスコアは最大7.5です。
- HPEは、これらのカーネル脆弱性はカーネル開発者によって上流で解決され、HPE Instant Onエンジニアリングチームによって統合されたと述べていますが、アップグレード以外の具体的な回避策はありません。
HPEの対応と推奨事項
HPEは、公開時点でこれらの脆弱性を悪用する公開されたエクスプロイトコードや活発な攻撃は認識していないと述べています。
顧客は、影響を受けるAruba Instant On 1930スイッチシリーズおよびInstant Onアクセスポイントをソフトウェアバージョン3.3.2.0以降にアップグレードすることが推奨されます。アップグレードは、2025年12月10日の週に開始された自動更新を利用するか、Instant Onアプリまたはウェブポータルを通じて手動で更新を開始することで可能です。