Arista EOS: Critical Vulnerability Exposes Cleartext Transmission (CVE-2024-12378)
2025/04/11 SecurityOnline — Arista Networks が公開したのは、同社の EOS (Extensible Operating System) に存在する、深刻な脆弱性に対処するセキュリティ・アドバイザリである。この脆弱性 CVE-2024-12378 (CVSS:9.1) により、機密情報が平文で送信される可能性が生じる。
このアドバイザリが警告するのは、secure Vxlan が設定された Arista EOS を実行するプラットフォームにおいて、Tunnelsec エージェントを再起動すると、secure Vxlan トンネルを介して、パケットが平文で送信される可能性がある点だ。つまり、暗号化されるべきデータが暗号化されずに送信され、機密情報が不正アクセスにさらされる可能性が生じる。
この脆弱性は、Arista EOS ベースの製品群における、7280CR3MK シリーズに影響を及ぼす。
影響を受ける、EOS バージョンは以下のとおりである:
- 4.32.x 系における 4.32.2F 以下
- 4.31.x 系における 4.31.6M 以下
- 4.30.x 系における 4.30.8M 以下
- 4.29.x 系における 4.29.9M 以下
- 4.28.x 系における 4.28.12M 以下
- 4.27.x 系における 4.27.12M 以下
ただし、Arista EOS ベースの、その他の多くの製品は、この脆弱性の影響を受けない。
このアドバイザリでは、対象システムが脆弱性 CVE-2024-12378 の影響を受ける前提として、secure Vxlan が設定されている必要があると規定されている。つまり、secure Vxlan が設定されていない場合には、”show ip security connection” の出力は空になる。
アドバイザリによると、
secure Vxlan トンネルが Established 状態から Connected 状態に遷移しても、パケットがトンネル経由で正常に送受信される場合は、侵害の兆候があると見なすべきだとしている。つまり、通常の暗号化接続の状態では、このステータスは “established” となるはずだ。
すでに Arista は、この脆弱性を軽減するための回避策を提供している。この回避策は、それぞれの secure VTEP のセキュリティ・プロファイルを削除し、再適用するものである。
ただし、Arista が推奨する最善の解決策は、修正済みのソフトウェア・バージョンへと、速やかにアップグレードすることだ。
この脆弱性は、以下の EOS リリースで修正されている。
- 4.33.x 系統の 4.33.0F 以降
- 4.32.x 系統の 4.32.3M 以降
- 4.31.x 系統の 4.31.7M 以降
- 4.30.x 系統の 4.30.9M 以降
- 4.29.x 系統の 4.29.10M 以降
Arista がユーザーに強く推奨するのは、必要な修正が含まれている、各リリースの最新バージョンへと、速やかにアップデートすることだ。
データセンターやクラウド基盤で広く利用されている Arista EOS に、情報漏えいの脆弱性が発見されました。Tunnelsec エージェントの再起動という日常的な操作によって、平文通信が発生してしまうという、驚くべき内容です。同製品は、先月にも別の脆弱性が発見されています(2025/03/02 Arista EOS の脆弱性 CVE-2025-1259/1260 が FIX:コンフィグ改竄の可能性) 。よろしければ、Arista で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.