Hewlett Packard Enterprise (HPE), Aruba Ağ Erişim Noktalarındaki iki kritik güvenlik açığını gidermek amacıyla Instant AOS-8 ve AOS-10 yazılımı için güncellemeler yayınladı.
İki güvenlik sorunu, uzaktaki bir saldırganın, UDP bağlantı noktası 8211 üzerinden Aruba’nın Erişim Noktası yönetim protokolüne (PAPI) özel hazırlanmış paketler göndererek kimliği doğrulanmamış komut enjeksiyonu gerçekleştirmesine olanak tanıyabilir.
Kritik kusurlar CVE-2024-42509 ve CVE-2024-47460 olarak izleniyor ve sırasıyla 9,8 ve 9,0 önem puanıyla değerlendiriliyor. Her ikisi de PAPI protokolü aracılığıyla erişilen komut satırı arayüzü (CLI) hizmetindedir.
Güncelleme ayrıca dört güvenlik açığını daha giderir:
- CVE-2024-47461 (7,2 şiddet puanı): Bir saldırganın temel işletim sisteminde rastgele komutlar yürütmesine olanak tanıyan, kimliği doğrulanmış uzaktan komut yürütme
- CVE-2024-47462 Ve CVE-2024-47463 (7,2 önem derecesi puanı): Kimliği doğrulanmış bir saldırgan rastgele dosyalar oluşturabilir ve bu da potansiyel olarak uzaktan komut yürütülmesine neden olabilir
- CVE-2024-47464 (6,8 önem puanı): bunu kullanan kimliği doğrulanmış bir saldırgan, yol geçişi yoluyla yetkisiz dosyalara erişebilir
Altı güvenlik açığının tümü AOS-10.4.xx: 10.4.1.4 ve daha eski sürümleri, Instant AOS-8.12.xx: 8.12.0.2 ve daha eski sürümleri ve Instant AOS-8.10.xx: 8.10.0.13 ve daha eski sürümleri etkilemektedir.
HPE, güvenlik tavsiyesinde, Yazılımın Bakım Sonu tarihlerine ulaşan birkaç sürümünün daha bu kusurlardan etkilendiğini ve bunlar için herhangi bir güvenlik güncellemesi yapılmayacağını belirtiyor.
Düzeltmeler ve geçici çözümler
Aruba Ağ Erişim Noktalarındaki güvenlik açıklarını gidermek için HPE, kullanıcılara cihazlarını aşağıdaki yazılım sürümlerine veya daha yenisine güncellemelerini önerir:
- AOS-10.7.xx: 10.7.0.0 ve sonraki sürümlere güncelleme.
- AOS-10.4.xx: 10.4.1.5 veya sonraki bir sürüme güncelleyin.
- Anında AOS-8.12.xx: 8.12.0.3 sürümüne veya daha yeni bir sürüme güncelleyin.
- Anında AOS-8.10.xx: 8.10.0.14 veya üzeri sürüme güncelleme
HPE ayrıca yazılım güncellemelerinin hemen yüklenemediği durumlarda yardımcı olmak amacıyla altı kusurun tümü için geçici çözümler de sağlamıştır:
İki kritik kusur için önerilen geçici çözüm, tüm güvenilmeyen ağlardan UDP bağlantı noktası 8211’e erişimi kısıtlamak/engellemektir.
Geri kalan sorunlar için satıcı, CLI’ye ve web tabanlı yönetim arayüzlerine erişimin, bunları özel bir katman 2 segmentine veya VLAN’a yerleştirerek kısıtlanmasını ve erişimin katman 3 ve üzeri güvenlik duvarı politikalarıyla kontrol edilmesini öneriyor; bu da potansiyeli sınırlandıracaktır. maruziyet.
Kusurlardan aktif olarak yararlanıldığı gözlemlenmedi ancak güvenlik güncellemelerinin ve/veya azaltımların uygulanması güçlü bir öneri olarak karşımıza çıkıyor.