HPE Aruba Networking (eski adıyla Aruba Networks), ArubaOS’u etkileyen ve etkilenen sistemlerde uzaktan kod yürütülmesine (RCE) neden olabilecek kritik kusurları gidermek için güvenlik güncellemeleri yayınladı.
10 güvenlik hatasından dördü ciddiyet açısından kritik olarak derecelendirildi:
- CVE-2024-26304 (CVSS puanı: 9,8) – PAPI Protokolü Aracılığıyla Erişilen L2/L3 Yönetim Hizmetinde Doğrulanmamış Arabellek Taşması Güvenlik Açığı
- CVE-2024-26305 (CVSS puanı: 9,8) – PAPI Protokolü Aracılığıyla Erişilen Utility Daemon’da Doğrulanmamış Arabellek Taşması Güvenlik Açığı
- CVE-2024-33511 (CVSS puanı: 9,8) – PAPI Protokolü Üzerinden Erişilen Otomatik Raporlama Hizmetinde Kimlik Doğrulamasız Arabellek Taşması Güvenlik Açığı
- CVE-2024-33512 (CVSS puanı: 9,8) – PAPI Protokolü Aracılığıyla Erişilen Yerel Kullanıcı Kimlik Doğrulama Veritabanında Kimlik Doğrulanamayan Arabellek Taşması Güvenlik Açığı
Bir tehdit aktörü, İşlem Uygulama Programlama Arayüzü (PAPI) UDP bağlantı noktasına (8211) yönelik özel hazırlanmış paketler göndererek yukarıda belirtilen arabellek taşması hatalarından yararlanabilir ve böylece temeldeki işletim sisteminde ayrıcalıklı bir kullanıcı olarak rastgele kod yürütme yeteneği kazanabilir.
Aruba Central tarafından yönetilen Mobility Conductor’ı (eski adıyla Mobility Master), Mobility Controller’ları ve WLAN Ağ Geçitleri ile SD-WAN Ağ Geçitlerini etkileyen güvenlik açıkları aşağıdaki yazılım sürümlerinde mevcuttur:
- ArubaOS 10.5.1.0 ve altı
- ArubaOS 10.4.1.0 ve altı
- ArubaOS 8.11.2.1 ve altı ve
- ArubaOS 8.10.0.10 ve altı
Ayrıca bakım durumunun sonuna ulaşmış ArubaOS ve SD-WAN yazılım sürümlerini de etkilerler.
- ArubaOS 10.3.xx
- ArubaOS 8.9.xx
- ArubaOS 8.8.xx
- ArubaOS 8.7.xx
- ArubaOS 8.6.xx
- ArubaOS 6.5.4.x
- SD-WAN 8.7.0.0-2.3.0.x ve
- SD-WAN 8.6.0.4-2.2.xx
Chancen adlı bir güvenlik araştırmacısının, dört kritik arabellek taşması güvenlik açığı da dahil olmak üzere 10 sorundan yedisini keşfetmesi ve raporlamasıyla itibar kazandı.
Kullanıcıların potansiyel tehditleri azaltmak için en son düzeltmeleri uygulamaları önerilir. ArubaOS 8.x için geçici çözüm olarak şirket, kullanıcıların Gelişmiş PAPI Güvenliği özelliğini varsayılan olmayan bir anahtar kullanarak etkinleştirmelerini öneriyor.