HPE Aruba Vulnerabilities Enables Unauthorized Access To Sensitive Information
2026/01/15 gbhackers — HPE が公表したのは、HPE Aruba Networking Instant On デバイスに存在する複数の深刻な脆弱性に対するセキュリティ・パッチのリリースである。これらの脆弱性を悪用するリモート攻撃者は、内部 VLAN コンフィグ・データの窃取/ワイヤレス・ネットワークの妨害/機密ネットワーク情報の不正取得を行う可能性がある。一連の脆弱性が影響を及ぼす範囲は、Instant On アクセス・ポイントおよび 1930 スイッチのソフトウェア・バージョン 3.3.1.0 以下であり、修正はバージョン 3.3.2.0 以降で提供されている。
HPE Aruba Instant On の脆弱性
HPE のセキュリティ情報 HPESBNW04988 によると、最も深刻な問題である CVE-2025-37165 は、HPE Networking Instant On アクセス・ポイントのルーター・モード設定に存在し、意図しないネットワーク・インターフェイス上で VLAN 情報を公開する可能性がある。
デバイスがルーター・モードで動作している場合、細工されたトラフィックを送信することで、本来は外部に開示されるべきではない情報が、特定のパケットを介して漏洩する可能性がある。それらの情報には、VLAN 識別子やセグメンテーション設計といった内部ネットワーク・コンフィグ詳細が含まれる。
この脆弱性 CVE-2025-37165 (CVSS v3.1:7.5:High) を悪用する攻撃者は、認証やユーザー操作を必要とせずに、ネットワーク経由でリモートから情報漏洩を引き起こす可能性がある。機密性への影響が大きい一方で、整合性および可用性への直接的な影響はないとされる。
影響を受けるインターフェイス上のトラフィックを監視/挿入できる攻撃者が、漏洩した VLAN およびトポロジー・データを用いて内部セグメントをマッピングし、機密領域に対するさらなるラテラル・ムーブメントや標的型攻撃を計画する可能性があると、HPE は警告している。
この脆弱性の CVSS ベクターは CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N であり、複雑度が低く、権限を必要としないネットワーク経由での悪用が可能なことを示している。この問題には、回避策は存在しない。
この脆弱性を発見/報告したのは、Quora.org の Daniel J Blueman である。
2件目の深刻度 High の脆弱性として挙げられるのは、CVE-2025-37166 である。この脆弱性は、HPE Networking Instant On アクセス・ポイントに影響し、特別に細工されたネットワーク・パケットを処理する際に発生する可能性がある。
この脆弱性が悪用されると、アクセス・ポイントが応答不能状態となり、サービス復旧のためのハード・リセットが必要となり得る。この欠陥を突く攻撃者は、Wi-Fi インフラに対してリモートからサービス拒否攻撃を実行できる。
GreyCortex の Petr Chelmar により発見された、脆弱性 CVE-2025-37166 (CVSS v3.1:7.5:High) は、データや整合性への影響よりも、可用性への影響が顕著である。この脆弱性の CVSS ベクターは CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H である。
さらに、HPE Instant On デバイスに影響を及ぼすものには、基盤となるオペレーティング・システム・カーネルに存在する複数のパケット処理の問題がある。これらの問題は、CVE-2023-52340/CVE-2022-48839 として文書化されている。
IPv4 および IPv6 パケット処理に起因する一連のカーネル・レベルのバグにより、通常の動作中にサービス拒否状態やメモリ破損が引き起こされる可能性がある。これらの脆弱性は、CVSS スコアは 7.5、深刻度は High と評価されている。HPE によると、これらのカーネル脆弱性はアップストリームで修正され、HPE Instant On エンジニアリング・チームにより統合されたが、アップグレード以外に有効な回避策は存在しないという。
現時点では、これらの脆弱性を悪用する公開エクスプロイト・コードやアクティブな攻撃は確認されていない。ユーザーに対して強く推奨されるのは、ソフトウェア・バージョン 3.3.2.0 以降へと速やかにアップグレードすることである。このアップグレードは、2025年12月10日の週から開始された自動更新があるが、Instant On アプリ/Web ポータルからの手動更新により確実に行うことが推奨される。影響を受ける Aruba Instant On 1930 スイッチ・シリーズおよび Instant On アクセス・ポイントのリスクを、迅速に取り除く必要がある。
中小規模のオフィスなどで利用されている Aruba Instant On のアクセスポイントやスイッチに存在する、内部情報の漏洩や通信の停止を招く恐れのある脆弱性が公表されました。この問題の原因は、主にデバイスの通信処理プログラムにおける不備にあります。特に深刻なケース CVE-2025-37165 では、ルーターモード使用時に VLAN 情報などの内部ネットワーク・コンフィグ・データが、本来は届くはずのない経路へと漏れ出してしまう状態にありました。これにより、攻撃者はネットワークの地図を外部から把握し、機密エリアへのさらなる侵入を計画することが可能になります。また、特定の不正パケットを受信すると機器が応答不能になり、物理的なリセットが必要になるサービス拒否 (DoS) のリスクも確認されています。ご利用のチームは、ご注意ください。よろしければ、Aruba での検索結果を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.