Arista Patches Critical Vulnerability in CloudVision ZTP With CVSS 10 Score
2025/05/10 SecurityOnline — Arista Networks が発行したのは、新たに発見された脆弱性 CVE-2025-0505 (CVSS:10.0) に関する緊急セキュリティ・アドバイザリである。この脆弱性は、Zero Touch Provisioning (ZTP) 機能の実装方法に起因し、オンプレミス環境の CloudVision Portal および CloudVision CUE に影響を及ぼす。
アドバイザリには、「Zero Touch Provisioning (ZTP) を利用すると、CloudVision システムの管理者権限が取得され、必要以上の権限が付与される可能性がある。この権限昇格を悪用する攻撃者は、CloudVision の管理下にあるデバイスのシステム状態を操作/照会を可能にし得る」と記されている。
幸いなことに、CloudVision as-a-Service (CVaaS) は影響を受けない。この脆弱性は、以下のオンプレミス・バージョンに影響を及ぼす。
- CloudVision Portal 2024.2.0/2024.2.1/2024.3.0
- 上記にバンドルされている、すべての CV-CUE (CloudVision Cognitive Unified Edge) バージョン
つまり、以下のプラットフォームが影響を受けると、明示的に記載されている。
- CloudVision Portal:仮想/物理アプライアンス
- CloudVision CUE:仮想/物理アプライアンス
この脆弱性 CVE-2025-0505 が危険な理由は、ZTP がデフォルトで有効になっているため、複雑なミスコンフィグを悪用する必要がないところにある。
Arista は、「この脆弱性に固有のコンフィグは存在しない」と述べている。したがって、影響を受けるバージョンで ZTP が有効化されている、すべての環境において、この脆弱性の影響が即時的に発生することになる。
この脆弱性の悪用に成功した攻撃者は、権限を昇格して完全な管理者アクセス権限を取得するとされる。なお、攻撃者の条件としては、不正な内部関係者や、侵害された自動化デバイスなどが挙げられる。
管理者に対して強く推奨されるのは、ZTP インターフェイスにおける異常の確認である。疑わしい、あるいは、予期しないデバイスのシリアル番号や、ZTP を介してプロビジョニングされていないデバイスのシリアル番号には、悪意の登録アクティビティを示している可能性がある。
迅速なアップグレードが不可能なユーザーのために、パッチ適用版が展開されるまで ZTP コンポーネントを無効化するという緩和策を、Arista は提示している。
cvpi disable ztp
cvpi stop ztp
cvpi status ztp
これらのコマンドにより、CloudVision ノード全体の ZTP プロセスを完全に無効化できる。上記のパッチ適用後に、再び有効化する場合には、以下のパッチを使用する:
cvpi enable ztp
cvpi start ztp
Arista が推奨するのは、脆弱性 CVE-2025-0505 に対するパッチを取り込んだ、以下のバージョンへのアップグレードである:
- 2024.2.x トレインでは 2024.2.2 以降
- 2024.3.x トレインでは 2024.3.1 以降
アップグレード手順の詳細については、Arista CloudVision Upgrade Guide を参照してほしい。
Arista は、この脆弱性の悪用に関する事例を報告していないが、CVSS 10 という評価と、ZTP のデフォルト有効化という性質は、この脆弱性への対処が緊急であることを強く示している。
Arista Networks の CloudVision ZTP に、CVSS スコア最高値の脆弱性が発生しています。オンプレミス環境の CloudVision Portal/CUE に影響を及ぼすとのことです。ご利用のチームは、迅速なアップグレードおよび緩和策の導入を、ご検討ください。よろしければ、Arista で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.