HPE Aruba Flaw Exposes Networking Devices to Privilege Escalation and DoS Attacks
2026/02/12 gbhackers — HPE Aruba Networking が公開したのは、Private 5G Core Platform に存在する複数の脆弱性に対処する重大なセキュリティ・アドバイザリである。これらの脆弱性を悪用する攻撃者は、承認を必要とせずに管理者アカウントを作成し、サービスの妨害や機微なシステム情報へのアクセスを可能にする。今回のアップデートで修正された脆弱性は CVE-2026-23595/CVE-2026-23596/CVE-2026-23597/CVE-2026-23598 であり、影響が及ぶ範囲はバージョン 1.24.3.0 〜 1.24.3.3 となる。
深刻な認証バイパスの脆弱性
最も深刻な脆弱性 CVE-2026-23595 (CVSS:8.8:High) は、アプリケーション API における認証バイパスに起因する。この脆弱性を悪用する未認証のリモート攻撃者は、いかなる認可も必要とせずに、特権ユーザー・アカウントの作成を可能にする。
脆弱性の悪用に成功した攻撃者は、管理者権限を取得することで、システム・コンフィグ変更/機密データ操作などに加えて、ネットワーク・インフラに対する永続的な制御を獲得する可能性がある。
攻撃ベクターは、隣接ネットワークからのアクセスを必要とするが、ユーザー操作は不要である。そのため企業や製造業の環境において危険となる。
2 つ目の脆弱性 CVE-2026-23596 (CVSS:6.5:Medium) は、Management API における不適切なアクセス制御に起因し、未認証の攻撃者に対してサービスの再起動を許すものとなる。
この脆弱性は、システム可用性に悪影響を及ぼすものであり、重要なネットワーク・サービスを妨害して業務停止を招く可能性がある。
その一方で、脆弱性 CVE-2026-23597/CVE-2026-23598 には、API エラー処理の欠陥による機微なシステム情報の漏洩の可能性がある。
これらを利用する攻撃者が不正に取得するものには、ユーザー/アカウント/ロール/システムコンフィグ/内部サービスワークフローの詳細などがあるため、高度な多段階攻撃のリスクを高める。
一連の脆弱性が影響が及ぼす範囲は、HPE Aruba Networking Private 5G Core バージョン 1.24.3.0/1.24.3.1/1.24.3.2/1.24.3.3 のみである。バージョン 1.24.2.2 以下および 1.25.1.0 以上は影響を受けない。
脆弱なバージョンを運用している組織に対して HPE が強く推奨するのは、バージョン 1.25.1.0 以上への速やかなアップグレードである。
パッチは HPE の Enterprise License ポータル (myenterpriselicense.hpe.com) から入手できる。なお、回避策は存在せず、パッチ適用が唯一の有効な防御戦略である。
企業や工場のプライベート 5G ネットワークを支える HPE Aruba Networking Private 5G Core に、管理者権限の奪取などを引き起こす複数の脆弱性が発見されました。最も深刻な脆弱性 CVE-2026-23595 は、アプリケーション API における認証プロセスの不備に起因します。通常、新しい管理者アカウントを作成するには厳格な本人確認が必要ですが、この脆弱性を悪用する外部の攻撃者は、正規の手続きを飛び越えて特権アカウントを作成できてしまう状態になっています。この他にも、サービスの強制再起動による業務停止 CVE-2026-23596 や、エラー画面からシステム構成が漏洩する問題 CVE-2026-23597 なども修正されました。ご利用のチームは、ご注意ください。よろしければ、Aruba での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.