2025/03/02 SecurityOnline — ネットワーク・スイッチング・ソリューションのプロバイダーである Arista Networks が発行したのは、同社の Extensible Operating System (EOS) ソフトウェアに影響を及ぼす、2つの脆弱性に対するセキュリティ・アドバイザリと警告である。この脆弱性 CVE-2025-1259/CVE-2025-1260 の悪用に成功した攻撃者は、機密データへの不正アクセスを達成し、脆弱なデバイスのコンフィグ改竄の機会を得るという。
Arista のアドバイザリには、「この脆弱性は、Arista EOS の OpenConfig 実装の問題に起因する。OpenConfig が設定された Arista EOS を実行し、脆弱性 CVE-2025-1259/CVE-2025-1260 の影響を受けるプラットフォームでは、拒否されるべき gNOI リクエストが実行される可能性がある」と記されている。
脆弱性 CVE-2025-1259 (CVSS:7.1) の悪用に成功した攻撃者は、アクセスが制限されているはずのデータを取得し、機密ネットワーク情報の漏洩にいたる可能性がある。脆弱性 CVE-2025-1260 (CVSS:9.1) の悪用に成功した攻撃者は、予期しないコンフィグ変更の適用の可能性を得る。その結果として、スイッチ上での不正な操作の実行に至り、ネットワーク操作の中断や、ネットワーク・セキュリティの侵害が引き起こされる可能性がある。
すでに Arista は、EOS の更新バージョンをリリースし、これらの脆弱性に対処している。ユーザーに対して推奨されるのは、可能な限り早急に、最新バージョンの EOS へとアップグレードすることだ。
Arista は、速やかなアップデートが不可能なユーザーのために、悪用のリスクを軽減する緩和戦略を提供している。そこに含まれるものとして、OpenConfig エージェントの無効化や、特定の gNOI RPC をブロックするための gNSI 認証のコンフィグなどがある。
今回の脆弱性は、Arista 社内で発見されたものであり、顧客ネットワーク上での悪用は確認されていないとのことだ。その一方で、影響を受けるデバイスのユーザーにとって重要なことは、速やかな行動により、潜在的な攻撃からネットワークを保護することだ。
Arista EOS の脆弱性 CVE-2025-1259/1260 が FIXしました。現時点では悪用は確認されていないとのことですが、ネットワーク機器の脆弱性は、組織全体のセキュリティに重大な影響を及ぼす可能性があります。ご利用のチームは、迅速なアップデートを、ご検討ください。よろしければ、カテゴリ _Cloud も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.