HPE Aruba Network の脆弱性 CVE-2025-37100 が FIX:機密データ漏洩の可能性

HPE Aruba Network Vulnerability Exposes Sensitive Information to Hackers

2026/06/11 CyberSecurityNews — HPE Aruba の Networking Private 5G Core プラットフォームに、深刻度の高いセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、不正な操作を介して、機密システム・ファイルに関連するアクセスとダウンロードの可能性を手にする。この脆弱性 CVE-2025-37100 (CVSS:7.7) は、プライベート 5G ネットワークを展開する企業が用いる、重要なインフラ・コンポーネントに影響を及ぼす。このセキュリティ欠陥が影響を及ぼす範囲は、ソフトウェア・バージョン 1.24.1.0〜1.25.1.0 であり、API を悪用する攻撃者に対して、機密データの漏洩を許す可能性がある。

HPE Aruba 5G Core ファイル アクセスの脆弱性

この脆弱性は、Networking Private 5G Core プラットフォームの API に存在し、保護されたシステム・ファイルへの不正アクセスの経路となるものだ。

2025年6月10日に公開されたセキュリティ情報によると、この脆弱性を悪用する攻撃者は、ファイル・システムを反復的にナビゲートし、侵害を受けたシステムから機密情報をダウンロードできるようになるという。

この攻撃のベクターは、攻撃の複雑さが低いネットワーク・ベースに分類されており、低レベルの権限が必要とされるが、ユーザー操作は不要である。

CVSS ベクター “CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N” が示すのは、この脆弱性がシステムの機密性に影響を与える一方で、ネットワーク環境内でのラテラル・ムーブメントの可能性があることだ。

HPE の社内ペンテスト・チームが、定期的なセキュリティ評価中に、この脆弱性を発見したという。それが実証するのは、エンタープライズ環境におけるプロアクティブなセキュリティ・テストの重要性である。

このアドバイザリの公開日の時点で、公開された攻撃の試みや PoC コードは確認されていないと、HPE は述べている。

Risk FactorsDetails
Affected ProductsHPE Aruba Networking Private 5G Core 1.24.1.0 to 1.25.1.0
ImpactUnauthorized access to sensitive system files through API exploitation
Exploit PrerequisitesNetwork access, low-privilege credentials, no user interaction
CVSS 3.1 Score7.7 (High)
緩和策

システムの迅速なアップグレードが不可能な組織は、システムの GUI からターミナル・サービスを無効化することで、一時的な緩和策を実施できる。

この回避策を実施する際には、上部メニューバーの System > Servicesに移動し、ターミナル・サービスの無効化への切り替え、もしくは、停止ボタンのクリックにより、サービスを完全に停止する。ただし、このサービスの無効化は、正当な管理機能やネットワーク管理機能に影響を与える可能性があるという。

セキュリティ・チームにとって必要なことは、緩和プロセス中において、Private 5G Core コンポーネントを慎重に取り扱うことである。

この緩和策は暫定的な保護を提供するが、HPE が強調するのは、更新されたソフトウェア・バージョンによる、恒久的なパッチ適用の重要性である。

すでに HPE は、Private 5G Core バージョン 1.25.1.1 をリリースし、このセキュリティ脆弱性を完全に解決している。したがって、ユーザーに対して強く推奨されるのは、この最新バージョン以降への速やかなアップグレードである。

ユーザー組織にとって必要なことは、API エンドポイントへの広範なネットワーク・アクセスを制限し、信頼できるローカル・ネットワーク環境内からのアクセスだけを許可するための、ネットワーク・セグメンテーション戦略の実装である。

HPE Aruba の Private 5G Core で発見された脆弱性 CVE-2025-37100 ですが、AP I経由で機密ファイルにアクセスできるという点で、注意が必要という感じです。早急なアップデートと、API へのアクセス制限、ネットワーク・セグメンテーションの実装が求められています。よろしければ、Aruba で検索も、ご参照ください。