HPE Warns of Aruba Hardcoded Credentials Allowing Attackers to Bypass Device Authentication
2025/07/21 CyberSecurityNews — Hewlett Packard Enterprise (HPE) の Aruba Networking Instant On アクセス・ポイントに存在する、深刻な脆弱性を悪用する攻撃者は、デバイスの認証メカニズムを完全にバイパスする可能性を得る。この脆弱性 CVE-2025-37103 は、デバイスのソフトウェアに埋め込まれたハードコード・ログイン認証情報に起因するものであり、CVSS スコア 9.8 と評価される、深刻なセキュリティ・リスクとなっている。
主なポイント
- HPE Aruba アクセス・ポイントには、認証バイパスを可能にする、ハードコードされた認証情報が取り込まれている。
- Instant On アクセス・ポイントのファームウェア・バージョン 3.2.0.1 以下が影響を受ける。
- 自動/手動のアップグレードを通じて、ファームウェアを 3.2.1.0 以降に更新する必要がある。
この脆弱性が影響を及ぼす範囲は、ソフトウェア・バージョン 3.2.0.1 以前を実行する、HPE Networking Instant On アクセス・ポイントであり、多数のエンタープライズ・ネットワーク管理が、不正アクセスに直面する可能性がある。
ハードコードされた認証情報の脆弱性
このハードコードされた認証情報の脆弱性は、HPE Aruba Networking のバグバウンティ・プログラムを通じて、Ubisectech Sirius チームの研究者である ZZ により発見/報告されたものだ。
このファームウェアの認証モジュールに、デフォルトのユーザー名/パスワードがハードコードされるという、この認証情報の露出が発生している。したがって、デバイスの Web インターフェイスに埋め込まれた、これらの認証情報を入力する攻撃者は、追加の権限付与や操作を経ることなく、通常のログイン手順をバイパスできる。
同社のアドバイザリに明記されているのは、この問題はファームウェア・バージョン 3.2.0.1 以下で動作する、Aruba Networking Instant On アクセス・ポイント固有のものであり、Instant On スイッチ自体には影響しないという点だ。
この脆弱性 CVE-2025-37103 を悪用する攻撃者は、管理者権限を取得することで、システム・コンフィグ/ネットワーク・トラフィック/デバイス管理インターフェイスの改竄などを達成し、ペイロード・インジェクションなどを引き起こす可能性を手にする。
欠陥のあるロジックとリスク
脆弱性 CVE-2025-37103 は、Instant On アクセスポイントのファームウェアにおける、 Web インターフェイスの認証情報検証機能に存在する。以下の疑似コードが示すのは、この欠陥のあるロジックである。
このシナリオでは、静的認証情報である “admin” と “default123” を知るリモートの脅威アクターが、HTTPS/HTTP 経由で authenticate() を呼び出すことで、多要素認証やセキュリティ・チェックをトリガーすることなく、特権セッション・トークンを取得できる。
2025年7月8日に公開されたアドバイザリ公開において HPE は、この脆弱性を狙ったエクスプロイトは確認されていないと報告している。ただし、技術的なハードルが低いため、急速に PoC エクスプロイト・コードが出現する可能性があると、同社は警告している。
リスク要因の詳細
| Risk Factors | Details |
| Affected Products | HPE Networking Instant On Access Points running software version 3.2.0.1 and below |
| Impact | Remote access restriction bypass, arbitrary code execution, administrative system access |
| Exploit Prerequisites | Knowledge of hardcoded credentials, network access to device web interface |
| CVSS 3.1 Score | 9.8 (Critical) |
緩和策
HPE の公式ソリューションが義務付けるのは、すべての影響を受ける Instant On アクセスポイントのファームウェアを、バージョン 3.2.1.0 以降にアップグレードすることだ。
このアップデートにより、ハードコードされた認証情報ブランチが、authenticate() ルーチンから削除され、ベストプラクティスに準拠しする堅牢な認証情報管理ポリシーが適用される。
2025年6月30日〜7月17日までの間に、自動更新を有効化していたユーザーは、追加手順を実施する必要はない。それ以外のケースでは、Instant On モバイル・アプリまたは Web ポータルから、手動操作によりパッチを適用する必要がある。
当面の回避策は存在しないため、ネットワーク管理者にとって必要なことは、このファームウェアのアップグレードを最優先で実施することである。また、予防策としては、アクセスログを監査して疑わしい Web インターフェイス・ ログインを検出し、管理トラフィックを信頼できる管理 VLAN にセグメント化する必要がある。
HPE Aruba のアクセス・ポイントに見つかった脆弱性は、ハードコードされたログイン情報の問題であり、管理者権限が簡単に乗っ取られてしまう危険性があるというものです。悪用に際して、技術的な難しさはないため、簡単に攻撃される可能性もあると、この記事は指摘しています。ご利用のチームは、十分に ご注意ください。よろしければ、Aruba で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.