Aruba Networks, üçü kritik olarak değerlendirilen 14 güvenlik açığı için yamalar ve azaltımlar yayınladı.
Aruba, bir danışma belgesinde güvenlik açıklarının ArubaOS 10.5 ve 10.4 şubeleri ile InstantOS 8.11, 8.10 ve 8.6 şubelerini çalıştıran erişim noktalarını etkilediğini söyledi.
İşletim sistemlerinin Süreç Uygulama Programlama Arayüzü (PAPI) protokolünü işlemesi iki güvenlik açığına yol açmaktadır: CVE-2023-45614 ve CVE-2023-45615 (her ikisi de CVSS puanı 9,8’dir).
Bunlar, CLI’de, UDP bağlantı noktası 8211 üzerinden PAPI’ye hazırlanmış paketler göndererek kimliği doğrulanmamış saldırganlara ayrıcalıklı bir kullanıcı olarak uzaktan kod yürütme (RCE) olanağı sağlayabilen arabellek taşmalarıdır.
CVE-2023-45616 (CVSS 9.8) aynı zamanda bu sefer AirWave istemci hizmetinde PAPI üzerinden bir arabellek taşması olup ayrıca kimliği doğrulanmamış bir saldırgana RCE verir.
CVE-2023-45617 ve CVE-2023-45618 (CVSS 8.2), işletim sistemi ve AirWave istemcisindeki rastgele dosya silme güvenlik açıklarıdır.
Kimliği doğrulanmamış bir saldırgan, işletim sistemi dosyalarını silerek hizmet reddine (DoS) neden olabilir.
CVE-2023-45619 (CVSS 8.2), bir erişim noktasının alınan sinyal gücü göstergesi (RSSI) hizmetine PAPI üzerinden erişildiğinde aynı güvenlik açığıdır.
PAPI protokolüne uygulanan diğer CVE’ler arasında kimliği doğrulanmamış iki DoS hatası (CVE-2023-45620 ve CVE-2023-45621); Bluetooth düşük enerji (BLE) arka plan programına PAPI üzerinden erişilirse bir DoS güvenlik açığı (CVE-2023-45622); PAPI üzerinden kablosuz bağlantı hizmetindeki başka bir DoS hatası (CVE-2023-45623); yazılım AP arka plan programında (CVE-2023-45624), işletim sistemlerinin CLI’sinde kimliği doğrulanmış RCE (CVE-2023-45625), daha düşük dereceli bir RCE (CVE-2023-45626) ve CLI’de kimliği doğrulanmış bir DoS hatası ( CVE-2023-45627).
8.x veya 6.x kodunu çalıştıran etkilenen InstantOS cihazlarında küme güvenliği etkinleştirilerek güvenlik açıklarının çoğu azaltılabilir.
Bu, UDP bağlantı noktası 8211’e erişimin engellenmesi gereken ArubaOS 10 aygıtlarında işe yaramaz.