Aruba Networks, tescilli ağ işletim sistemi olan ArubaOS’un birden çok sürümünü etkileyen altı kritik önem düzeyine sahip güvenlik açığı hakkında müşterileri bilgilendirmek için bir güvenlik danışma belgesi yayınladı.
Kusurlar, Aruba Mobility Conductor, Aruba Mobility Controllers ve Aruba tarafından yönetilen WLAN Ağ Geçitlerini ve SD-WAN Ağ Geçitlerini etkiler.
Aruba Networks, bilgisayar ağları ve kablosuz bağlantı çözümleri konusunda uzmanlaşmış, Hewlett Packard Enterprise’ın Kaliforniya merkezli bir yan kuruluşudur.
Aruba tarafından bu kez ele alınan kritik kusurlar iki kategoriye ayrılabilir: PAPI protokolündeki (Aruba Ağları erişim noktası yönetim protokolü) komut enjeksiyon kusurları ve yığın tabanlı arabellek taşması sorunları.
Tüm kusurlar, resmi hata ödül programı aracılığıyla satıcıya bildiren güvenlik analisti Erik de Jong tarafından keşfedildi.
Komut enjeksiyon güvenlik açıkları şu şekilde izlenir: CVE-2023-22747, CVE-2023-22748, CVE-2023-22749Ve CVE-2023-2275010,0 üzerinden 9,8 CVSS v3 derecesi ile.
Kimliği doğrulanmamış, uzaktaki bir saldırgan, UDP bağlantı noktası 8211 üzerinden PAPI’ye özel hazırlanmış paketler göndererek bunlardan yararlanabilir ve ArubaOS’ta ayrıcalıklı bir kullanıcı olarak rasgele kod yürütülmesine neden olur.
Yığın tabanlı arabellek taşması hataları şu şekilde izlenir: CVE-2023-22751 Ve CVE-2023-22752ve ayrıca CVSS v3 derecesi 9.8’dir.
Bu kusurlar, UDP bağlantı noktası 8211 üzerinden PAPI’ye özel hazırlanmış paketler gönderilerek kullanılabilir ve kimliği doğrulanmamış, uzaktaki saldırganların ArubaOS’ta ayrıcalıklı kullanıcılar olarak rasgele kod çalıştırmasına olanak tanır.
Etkilenen sürümler şunlardır:
- ArubaOS 8.6.0.19 ve altı
- ArubaOS 8.10.0.4 ve altı
- ArubaOS 10.3.1.0 ve altı
- SD-WAN 8.7.0.0-2.3.0.8 ve altı
Aruba’ya göre hedef yükseltme sürümleri şöyle olmalıdır:
- ArubaOS 8.10.0.5 ve üzeri
- ArubaOS 8.11.0.0 ve üzeri
- ArubaOS 10.3.1.1 ve üzeri
- SD-WAN 8.7.0.0-2.3.0.9 ve üzeri
Ne yazık ki, Kullanım Ömrü Sonuna (EoL) ulaşan bazı ürün sürümleri de bu güvenlik açıklarından etkilenir ve bir düzeltme güncellemesi almaz. Bunlar:
- Aruba OS 6.5.4.x
- Aruba OS 8.7.xx
- Aruba OS 8.8.xx
- Aruba OS 8.9.xx
- SD-WAN 8.6.0.4-2.2.xx
Güvenlik güncellemelerini uygulayamayan veya EoL cihazları kullanan sistem yöneticileri için bir geçici çözüm, varsayılan olmayan bir anahtar kullanarak “Gelişmiş PAPI Güvenliği” modunu etkinleştirmektir.
Ancak, hafifletme önlemlerinin uygulanması, Aruba’nın güvenlik danışma belgesinde listelenen ve yeni sürümlerle düzeltilen diğer 15 yüksek önem dereceli ve sekiz orta önem dereceli güvenlik açığını gidermez.
Aruba, danışma belgesinin yayınlanma tarihi olan 28 Şubat 2022 itibarıyla bu güvenlik açıklarının herhangi bir kamuya açık tartışmasından, istismar kodundan veya aktif istismarından habersiz olduğunu belirtiyor.