Hewlett Packard Enterprise (HPE), Aruba Ağ Erişim Noktası ürünlerini etkileyen çeşitli güvenlik açıklarını gidermek için kritik güvenlik yamaları yayınladı. Özellikle iki ciddi kusuru da içeren bu güvenlik açıkları (CVE-2024-42509 ve CVE-2024-47460), kimliği doğrulanmamış saldırganların uzaktan rastgele komutlar yürütmesine olanak tanıyarak etkilenen sistemlerin güvenliğini tehlikeye atabilir.
Kusurlar, Aruba erişim noktalarının çeşitli modellerinde çalışan hem Instant AOS-8 hem de AOS-10 yazılımını etkileyerek yöneticilerin ve ağ güvenliği ekiplerinin derhal ilgilenmesini gerektiriyor.
CVE-2024-42509 ve CVE-2024-47460 için HPE Güvenlik Yamaları
Aruba erişim noktalarında tespit edilen güvenlik açıkları, kötü niyetli aktörler tarafından istismar edilmesi durumunda ciddi sonuçlara yol açabilir. HPE, ikisi uzaktan kod yürütme (RCE) potansiyeli nedeniyle kritik olarak sınıflandırılan toplam altı güvenlik açığını gidermek için yamalar yayınladı. Bu güvenlik açıkları, Aruba’nın işletim sistemlerinin Instant AOS-8 ve AOS-10’un çeşitli sürümlerini etkiliyor.
Bu güvenlik açıklarından en kritik olanı CVE-2024-42509 ve CVE-2024-47460 olarak tanımlanmaktadır ve bunların her ikisi de Komut Satırı Arayüzü (CLI) hizmetindeki komut ekleme kusurlarıdır. Bu kusurlar, saldırganların PAPI (Aruba’nın Erişim Noktası Yönetim Protokolü) UDP bağlantı noktası 8211’e özel hazırlanmış paketler göndermesine olanak tanır ve potansiyel olarak kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine olanak tanır.
- CVE-2024-42509: Bu güvenlik açığına 10 üzerinden 9,8 gibi yüksek bir önem derecesi atanmıştır. Başarılı bir şekilde kullanılması, bir saldırganın, etkilenen sistemin temel işletim sisteminde ayrıcalıklı bir kullanıcı olarak rastgele kod çalıştırmasına olanak verebilir.
- CVE-2024-47460: Bu sorun 9,0 gibi biraz daha düşük bir ciddiyet puanı taşıyor ancak yine de önemli bir riski temsil ediyor. Ayrıca, saldırganların CVE-2024-42509’a benzer sonuçlarla uzaktan rastgele komutlar yürütmesine olanak tanır.
Her iki güvenlik açığı da kritiktir çünkü kimliği doğrulanmamış saldırganların erişim noktası üzerinde kontrol sahibi olmasına ve potansiyel olarak tüm ağın güvenliğini tehlikeye atmasına olanak tanır.
Etkilenen Sürümler ve Ürünler
Güvenlik açıkları, Instant AOS-8 ve AOS-10’un belirli sürümlerini çalıştıran bir dizi Aruba erişim noktası modelini etkiliyor. Etkilenen sürümler aşağıdaki gibidir:
- Anında AOS-10.4.xx: Sürüm 10.4.1.4 ve öncesi
- Anında AOS-8.12.xx: Sürüm 8.12.0.2 ve öncesi
- Anında AOS-8.10.xx: Sürüm 8.10.0.13 ve öncesi
HPE’nin danışma belgesinde, bu güvenlik açıklarının Bakım Sonu (EoM) durumuna ulaşan ürünleri etkilemediği belirtilmektedir. Bu nedenle, AOS-10.6.xx, AOS-10.5.xx ve birkaç önceki sürümü çalıştıran erişim noktaları mevcut yama sürümünde ele alınmamaktadır.
Daha da önemlisi, Aruba’nın Mobilite İletkeni, Mobilite Denetleyicileri ve SD-WAN Ağ Geçitleri ve Aruba InstantOn Erişim Noktaları bu güvenlik açıklarından etkilenmez.
Güvenlik Yamaları ve Azaltma Önerileri
HPE, bu güvenlik açıklarıyla ilişkili riskleri azaltmak için kritik güvenlik yamaları yayımladı. Instant AOS-8 ve AOS-10’daki belirli kusurları gidermek için kullanıcıların sistemlerini aşağıdaki yamalı sürümlere güncellemesi gerekir:
- AOS-10.7.xx: Sürüm 10.7.0.0 ve üzeri
- AOS-10.4.xx: Sürüm 10.4.1.5 ve üzeri
- Anında AOS-8.12.xx: Sürüm 8.12.0.3 ve üzeri
- Anında AOS-8.10.xx: Sürüm 8.10.0.14 ve üzeri
Bu güncellenmiş yazılım sürümleri, danışma belgesinde açıklanan güvenlik açıklarını gideren kritik güvenlik düzeltme eklerini içerir. Ağ yöneticilerinin, Aruba erişim noktası altyapılarının sürekli güvenliğini ve bütünlüğünü sağlamak için bu yamaları derhal uygulamaları şiddetle tavsiye edilir.
Instant AOS-8 çalıştıran cihazlar için HPE, küme güvenliğinin aşağıdakileri kullanarak etkinleştirilmesini önerir: küme güvenliği emretmek. Bu, CVE-2024-42509 ve CVE-2024-47460’ın kötüye kullanılmasının önlenmesine yardımcı olabilir. Ancak AOS-10 cihazları için şirket, küme güvenliği özelliği bu sürümde mevcut olmadığından güvenilmeyen ağlardan UDP bağlantı noktası 8211’e erişimin engellenmesini öneriyor.
Ek Güvenlik Hususları
Bu güvenlik açıklarına yönelik kritik güvenlik yamaları önemli olsa da HPE, Aruba erişim noktalarını daha da korumak için ek güvenlik önerileri de sağlar. Örneğin, kimlik doğrulamalı uzaktan komut yürütme ve rastgele dosya oluşturma dahil olmak üzere diğer güvenlik açıklarıyla ilgili riskleri azaltmak için yöneticilerin CLI’ye ve web tabanlı yönetim arayüzlerine erişimi kısıtlaması gerekir. Saldırı yüzeyini azaltmak için bu arayüzleri özel bir VLAN’da ayırmanız veya güvenlik duvarı politikaları aracılığıyla kontrol etmeniz önerilir.
Ayrıca aşağıdakiler de dahil olmak üzere diğer bazı güvenlik açıkları da keşfedildi:
- CVE-2024-47461: Sisteme ayrıcalıklı erişimi olan saldırganların yararlanabileceği, önem derecesi 7,2 (yüksek) olan, kimliği doğrulanmış bir uzaktan kod yürütme hatası.
- CVE-2024-47462, CVE-2024-47463: Uzaktan komut yürütülmesine yol açabilecek rastgele dosya oluşturma güvenlik açıkları.
- CVE-2024-47464: Saldırganların dosyalara yetkisiz erişimine olanak verebilecek bir yol geçiş güvenlik açığı.
Bu güvenlik açıkları, yalnızca kritik hataları düzeltmenin ötesinde, ağ güvenliğine yönelik kapsamlı bir yaklaşıma olan ihtiyacı vurgulamaktadır. Kuruluşlar, sağlam erişim kontrolleri uygulayarak ve tüm yönetim arayüzlerinin uygun şekilde güvenlik altına alınmasını sağlayarak, başarılı kötüye kullanım olasılığını azaltabilir.
Zamanında Yama Uygulamanın Önemi
Bu HPE güvenlik yamalarının piyasaya sürülmesi, kuruluşların siber güvenliğe yönelik proaktif bir yaklaşım sürdürmeye devam eden ihtiyacını vurgulamaktadır. Aruba erişim noktalarını etkileyenler gibi kritik güvenlik açıklarına yönelik yamaların zamanında uygulanması, ağ altyapısını potansiyel istismardan korumak için çok önemlidir.
Güvenlik uzmanları, kuruluşların Aruba erişim noktası güvenlik açıkları gibi güvenlik güncellemelerinin kullanılabilir olur olmaz dağıtılmasını sağlayan rutin bir yama yönetimi süreci oluşturmasını tavsiye ediyor. Bu, saldırganlar için fırsat penceresini en aza indirmeye yardımcı olur ve uzlaşma riskini azaltır.
İlgili