Extreme Networks Addresses Critical Security Vulnerabilities in HiveOS
2025/03/02 SecurityOnline — 先日に Extreme Networks がリリースしたのは、IQ Engine (HiveOS) 製品ラインに影響を及ぼす、3つの深刻な脆弱性に対処するセキュリティ・アドバイザリである。これらの脆弱性は、ボン・ライン・ジーク応用科学大学の Lukas Schauer により発見されたものであり、悪用に成功した攻撃者に対して、不正アクセスと権限昇格を許し、脆弱なシステム上での任意のコマンド実行を引き起こすものだ。
以下の脆弱性が特定されている:
CVE-2025-27229:HiveOS の非サニタイズ SSH トンネル呼び出し
この脆弱性の悪用に成功した認証済みの攻撃者は、非サニタイズ SSH トンネル呼び出しを介して、ルート・シェル・アクセスへの昇格を達成する。
CVE-2025-27228:HiveOS ユーザー・レベルのパスワード復号化
この脆弱性の悪用に成功した認証済の攻撃者は、CLI 機能を介してユーザー・レベルのパスワードを復号化できる。
CVE-2025-27227:HiveOS クライアント SSID 改行インジェクション
この脆弱性の悪用に成功した認証済の攻撃者は、Client-SSID 設定コマンドに対して改行インジェクションを行うことで、任意のコマンドを実行できる。
これらの脆弱性は、HiveOS のバージョン 10.7r5 未満に影響を及ぼす。これらの脆弱性が悪用されると、影響を受けるシステムが完全に侵害され、攻撃者による機密データの窃取/サービスの中断/追加マルウェアのインストールの恐れが生じる。
すでに Extreme Networks は、バージョン 10.7r5 をリリースし、これらの脆弱性を軽減している。ユーザーに強く推奨されるのは、HiveOS の最新バージョンへと速やかにアップデートし、システムを安全に保つことだ。また、強力なパスワードの実装や、機密システムへのアクセス制限などの、セキュリティのベスト・プラクティスに従うことも推奨される。
HiveOS を使用している組織に求められるのは、これらの脆弱性に対処し、潜在的な侵害を防ぐために、直ちに行動を起こすことである。
Extreme Networks の IQ Engine (HiveOS) に製品ラインに影響を及ぼす、3件の脆弱性が FIX しました。これらの脆弱性が悪用されると、機密データの窃取/サービスの中断/追加マルウェアのインストールなどに至る可能性があるとのことです。ご利用のチームは、アップデートを忘れないよう、お気をつけください。
IoT OT Security News 
You must be logged in to post a comment.