HPE Aruba Networking tarafından, Instant AOS-8 ve AOS-10 yazılımını çalıştıran Erişim Noktalarındaki birden fazla güvenlik açığı konusunda uyarıda bulunan kritik bir güvenlik tavsiyesi yayımlandı.
CVE-2024-42505, CVE-2024-42506 ve CVE-2024-42507 olarak tanımlanan bu güvenlik açıkları, kimliği doğrulanmamış uzaktan kod yürütülmesine izin vererek ağ güvenliği için önemli bir tehdit oluşturabilir.
Etkilenen Ürünler ve Yazılım Sürümleri
Etkilenen ürünler arasında Instant AOS-8 ve AOS-10 yazılımının belirli sürümlerini çalıştıran çeşitli Aruba Erişim Noktaları modelleri yer alıyor:
- AOS-10.6.xx: Sürüm 10.6.0.2 ve altı
- AOS-10.4.xx: Sürüm 10.4.1.3 ve altı
- Anında AOS-8.12.xx: Sürüm 8.12.0.1 ve altı
- Anında AOS-8.10.xx: Sürüm 8.10.0.13 ve altı
Ek olarak, çeşitli Destek Ömrü Sonu (EoSL) yazılım sürümleri de etkilenmektedir ancak EoSL durumları nedeniyle yama alamayacaktır.
HPE Aruba Networking Mobilite İletkenleri, Mobilite Denetleyicileri, SD-WAN Ağ Geçitleri ve HPE Networking Instant On ürünleri bu güvenlik açıklarından etkilenmez.
Güvenlik açıkları, PAPI protokolü tarafından erişilen CLI hizmetindeki kimliği doğrulanmamış komut eklemeyle ilgilidir. Başarılı bir şekilde kullanılması, temel işletim sisteminde ayrıcalıklı bir kullanıcı olarak rastgele kod yürütülmesine yol açabilir.
Bu güvenlik açıklarına ilişkin CVSSv3.x genel puanı 9,8’dir ve bu, kritik önem düzeyini gösterir.
Instant AOS-8.x çalıştıran cihazlar için, küme güvenliğinin küme güvenliği komutu aracılığıyla etkinleştirilmesi kötüye kullanımı önleyebilir.
AOS-10 cihazları için, güvenilmeyen ağlardan UDP bağlantı noktası 8211’e erişimin engellenmesi önerilir. Güvenlik açıklarını tam olarak gidermek için HPE Aruba Networking, Erişim Noktalarının aşağıdaki sürümlere veya daha yenisine yükseltilmesini önerir:
- AOS-10.7.xx: Sürüm 10.7.0.0 ve üzeri
- AOS-10.6.xx: Sürüm 10.6.0.3 ve üzeri
- AOS-10.4.xx: Sürüm 10.4.1.4 ve üzeri
- Anında AOS-8.12.xx: Sürüm 8.12.0.2 ve üzeri
- Anında AOS-8.10.xx: Sürüm 8.10.0.14 ve üzeri
Güncellenen yazılım sürümleri HPE Ağ Destek Portalından indirilebilir.
Erik De Jong, bu güvenlik açıklarını HPE Aruba Networking’in hata ödül programı aracılığıyla keşfetti ve bildirdi.
Tavsiye belgesinin yayınlanma tarihi itibarıyla, bu belirli güvenlik açıklarını hedef alan bilinen bir kamuya açık tartışma veya yararlanma kodu bulunmamaktadır.
Kullanıcıların, bu kritik güvenlik açıklarını azaltmak için etkilenen sistemlerini önerilen sürümlere yükseltmeleri önemle tavsiye edilir.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin