HPE Aruba Networking, tescilli ağ işletim sistemi olan ArubaOS’un birden fazla sürümünü etkileyen kritik uzaktan kod yürütme (RCE) güvenlik açıklarını ayrıntılarıyla anlatan Nisan 2024 güvenlik danışma belgesini yayınladı.
Tavsiye belgesinde, dördü kritik öneme sahip (CVSS v3.1: 9.8) ve uzaktan kod yürütülmesine (RCE) yol açabilecek, kimliği doğrulanmamış arabellek taşması sorunları olan on güvenlik açığı listeleniyor.
Yeni açıklanan kusurlardan etkilenen ürünler şunlardır:
- Aruba Central tarafından yönetilen HPE Aruba Ağ İletişimi İletkeni, Mobilite Denetleyicileri, WLAN Ağ Geçitleri ve SD-WAN Ağ Geçitleri.
- ArubaOS 10.5.1.0 ve altı, 10.4.1.0 ve altı, 8.11.2.1 ve altı ve 8.10.0.10 ve üstü.
- ArubaOS ve SD-WAN’ın EoL’ye ulaşan tüm sürümleri. Bu, 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4’ün altındaki ArubaOS’u ve SD-WAN 2.3.0 ila 8.7.0.0 ve 2.2 ila 8.6.0.4’ü içerir.
Dört kritik uzaktan kod yürütme hatası şunlardır:
- CVE-2024-26305 – ArubaOS Yardımcı Programındaki kusur, kimliği doğrulanmamış bir saldırganın PAPI (Aruba’nın erişim noktası yönetim protokolü) UDP bağlantı noktasına (8211) özel hazırlanmış paketler göndererek uzaktan rastgele kod yürütmesine olanak tanır.
- CVE-2024-26304 – L2/L3 Yönetim hizmetindeki kusur, PAPI UDP bağlantı noktasına gönderilen hazırlanmış paketler aracılığıyla kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veriyor.
- CVE-2024-33511 – Kimliği doğrulanmamış saldırganların uzaktan rastgele kod yürütmesine izin vermek için PAPI protokolü bağlantı noktasına özel hazırlanmış paketler gönderilerek Otomatik Raporlama hizmetindeki güvenlik açığından yararlanılabilir.
- CVE-2024-33512 – Kimliği doğrulanmamış uzaktaki saldırganların, PAPI protokolü aracılığıyla erişilen Yerel Kullanıcı Kimlik Doğrulama Veritabanı hizmetindeki arabellek taşmasını kullanarak kod yürütmesine izin veren kusur.
Kusurları azaltmak için satıcı, Gelişmiş PAPI Güvenliğinin etkinleştirilmesini ve ArubaOS için yamalı sürümlere yükseltme yapılmasını önerir.
En son sürümler ayrıca, tümü “orta” önem derecesine sahip (CVSS v3.1: 5.3 – 5.9) ve kimliği doğrulanmamış saldırganların savunmasız cihazlarda hizmet reddi oluşturmasına ve maliyetli operasyonel kesintilere neden olmasına olanak tanıyan diğer altı güvenlik açığını da ele alıyor.
On kusurun tamamını ele alan hedef yükseltme sürümleri şunlardır:
- ArubaOS 10.6.0.0 ve üzeri
- ArubaOS 10.5.1.1 ve üzeri
- ArubaOS 10.4.1.1 ve üzeri
- ArubaOS 8.11.2.2 ve üzeri
- ArubaOS 8.10.0.11 ve üzeri
Şu anda HPE Aruba Networking, söz konusu güvenlik açıklarına yönelik herhangi bir aktif kötüye kullanım vakasından veya kavram kanıtı (PoC) açıklarından yararlanmanın varlığından haberdar değildir.
Yine de sistem yöneticilerinin mevcut güvenlik güncellemelerini en kısa sürede uygulamaları önerilir.