HPE Aruba Networking Addresses Security Vulnerabilities in AOS Systems
2025/01/16 SecurityOnline — HPE Aruba Networking が発行したのは、Mobility Conductors/Controllers/Gateways の管理のために、企業ネットワークで広く導入されている ArubaOS (AOS) システムの、脆弱性 CVE-2025-23051/CVE-2025-23052 に対処するセキュリティ・アドバイザリである。これらの脆弱性の悪用に成功した攻撃者は、不正なコマンドの実行や、システム・ファイルの上書きを達成し、ネットワーク・セキュリティに重大なリスクをもたらすという。
以下の2件の脆弱性が特定されている:
AOS Web ベース管理インターフェイスにおけるリモート コード実行
CVE-2025-23051 (CVSS:7.2)
AOS-8/AOS-10 の Web ベース管理インターフェイスにおける、認証を必要とするパラメータ・インジェクションの脆弱性であり、任意のシステム・ファイルの上書きを、攻撃者に対して許す可能性がある。同社のアドバイザリには、「悪用が成功すると、認証されたユーザーによるパラメータ・インジェクションが達成され、任意のシステム・ファイルにおける上書きにいたる可能性が生じる」と記されている。
AOS CLI インターフェイスにおける認証済みコマンド・インジェクション
CVE-2025-23052 (CVSS:7.2)
AOS のコマンドライン・インターフェイスの脆弱性を悪用する攻撃者は、特権アクセスを介した任意のコマンド実行の可能性を手にする。同社のアドバイザリには、「この脆弱性の悪用に成功した攻撃者は、基盤となる OS 上の特権ユーザーとしての、任意のコマンド実行の可能性を得る」と記されている。
すでに HPE Aruba Networking は、最新の AOS バージョンをリリースし、これらの脆弱性を軽減している。ユーザーに対して強く推奨されるのは、デバイスをアップグレードして、システムを保護することである。
この問題に対処するために、以下のバージョンが提供されている:
- AOS-10.7.x.x: 10.7.0.0 以上
- AOS-10.4.x.x: 10.4.1.5 以上
- AOS-8.12.x.x: 8.12.0.3 以上
- AOS-8.10.x.x: 8.10.0.15 以上
その一方で、HPE Aruba Networking が回避策として推奨するのは、CLI および Web ベースの管理インターフェイスへの、アクセスの制限である。これらのインターフェイスを、専用の Layer 2 segment/VLAN に分離し、Layer 3 以上においてファイアウォール・ポリシーを実装すること、この回避策は実現できる。
ArubaOS の Web/CLI インターフェイスに存在する、2件の脆弱性が FIX しました。ご利用のチームは、アップデート情報を ご確認ください。よろしければ、Aruba で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.