Arista EOSにトンネル復号の不備(CVE-2026-7473)— 想定外パケットを誤って転送
ネットワークスイッチのOS「Arista EOS」に、トンネル復号(デカプセル化)時の比較不備。設定した復号用IP宛ての想定外のトンネルパケットを、スイッチが誤って復号・転送しうる。CISAは悪用確認済み(KEV)として掲載(NVD公式CVSS 5.8 Medium)。
脆弱性の基本情報
- CVE番号CVE-2026-7473
- CVSS基本値5.8 MEDIUM
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
- 対象(ベンダー/製品)Arista Extensible Operating System
- CWECWE-1023
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-06-23(米連邦民生機関・BOD 22-01)
要点
CVE-2026-7473は、Arista Extensible Operating System(EOS。Arista社のネットワークスイッチを動かすOS)に存在する、不完全な比較(CWE-1023=考慮すべき要素を欠いた比較)の脆弱性だ。
公開情報によれば、スイッチがトンネル(カプセル化された通信)を復号=デカプセル化する際の判定が不十分で、設定された復号用IPアドレスに一致する宛先を持つ「想定外の」トンネルパケットまで、誤って復号して転送してしまう。
これが問題になるのは、本来は外部に留めるべき/特定の経路だけを通すべきパケットが、スイッチを通り抜けてネットワーク内部に入りうるからだ。ネットワークを区切って守る「セグメンテーション」を回避され、アクセス制御をすり抜けて内部の機器に到達される恐れがある。影響は完全性(誤った転送)に限定的だが、影響がスイッチ自身の外(ネットワーク)に及ぶ(scope changed)点に注意が要る。
【対応の要点】Arista公式情報を確認し、影響を受けるEOSバージョンとトンネル/デカプセル化の構成を特定して、修正・緩和策を適用する。トンネル終端やデカプセル化を設定している環境では特に、構成の見直しと、想定外の経路でパケットが通っていないかの確認が推奨される。
なぜ重要か
Aristaスイッチでトンネル/ネットワーク分離を運用するデータセンター・大規模ネットワークに関わる。セグメンテーション回避はアクセス制御の前提を崩すため、パッチ適用に加えトンネル構成の点検が要点。ネットワーク基盤の境界制御を守る重要性を示す。
よくある質問(FAQ)
デカプセル化(トンネル復号)とは?
CVSSは5.8とそれほど高くないですが?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。