Arista Fixes Critical CloudVision Portal Vulnerability with CVSS 10 Score
2025/05/09 SecurityOnline — Arista Networks が公開したのは、CloudVision Portal (CVP) ソフトウェアに存在する、深刻な脆弱性 CVE-2024-11186 (CVSS:10.0) に関するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した認証済みのユーザーは、管理対象 EOS デバイスに対して広範な操作を実行する機会を得るため、ネットワーク・インフラ全体が侵害される可能性が生じる。
Arista の公式アドバイザリには、「この脆弱性の影響を受ける CloudVision Portal のバージョンでは、認証済みのユーザーに対して不適切なアクセス制御を許し、管理対象 EOS デバイスに対して広範な操作が実行される可能性が生じる。この問題は、当初に想定していたレベルを上回るものだ」と記されている。
この脆弱性は、オンプレミス環境の CloudVision Portal に影響を及ぼすが、CloudVision as-a-Service には影響を与えないため、クラウド・ホスティング・ユーザーへの影響の範囲は大幅に縮小される。
2017年から 2024年の初頭にかけて、広範な CVP ソフトウェアが、この脆弱性の影響を受けていたことを、Arista は認めている。
- 対象:2023.x/2022.x/2021.x/2020.x/2019.x/2018.x/2017.x の全リリース
- 影響を受けるブランチ:2024.3.0 以下/2024.2.1 以下/2024.1.2 以下
- 影響を受けるプラットフォームには、CloudVision Portal の仮想アプライアンスと物理アプライアンスの両方が含まれる
脆弱性 CVE-2024-11186 の悪用の前提として、攻撃者は CloudVision システムで認証を得る必要がある。したがって、外部からの悪用リスクは軽減されるが、深刻な内部脅威が残るため、特に共有アクセスやアカウント侵害のある環境では、さらに深刻な脅威となる。
Arista が推奨するのは、内部ログにおける異常なアクティビティの確認である。具体的には、管理者としては、以下の項目を調査する必要がある。
- “Request to execute:” で始まる CVP ログ
- マネージド EOS デバイスの RADIUS/TACACS ログ
これらのエントリを調べることで、侵害されたインターフェイス経由で実行された不正なコマンドまたは疑わしいコマンドの特定が容易になる。
速やかなアップグレードが不可能な場合のために、Arista が提供するのは、nginx のコンフィグ変更による一時的な緩和策である。
location ^~ /cvpservice/di/ {
return 404;
}
その後に、以下のコマンドで nginx サービスを再起動する。
nginx-app.sh reload
上記の処理により、脆弱なエンドポイントへのアクセスがブロックされ、完全なパッチが適用されるまでの間の、一時的な対策となる。
すでに Aristaは、修正済みのソフトウェアをリリースしている:
- 2025.1.x トレインの 2025.1.0 以降
- 各トレインでは 2024.3.1/2024.2.2/2024.1.3
ユーザーに対して強く推奨されるのは、最新のパッチ・トレインへのアップグレードによる、システムの完全な保護である。
Arista CloudVision Portal に、深刻度が最高の CVSS スコア 10.0 と評価される、脆弱性 CVE-2024-11186 が確認されました。この脆弱性の影響を受けるのは、2017年から 2024年の初頭にかけてリリースされた、数多くの CloudVision Portal (CVP) ソフトウェア・バージョンであるとのことです。ご利用のチームは、十分にご注意ください。よろしければ、Arista で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.