HPE Aruba Networking, Aruba Erişim Noktalarının Komut Satırı Arayüzü (CLI) hizmetindeki üç kritik güvenlik açığını giderdi.
CVE-2024-42505, CVE-2024-42506 ve CVE-2024-42507 olarak tespit edilen ve 9,8/10 önem derecesiyle derecelendirilen güvenlik açıkları, kimliği doğrulanmamış saldırganların, özel olarak hazırlanmış paketleri PAPI’ye (Aruba’nın Erişim Noktası yönetim protokolü) UDP portuna (8211) göndererek savunmasız cihazlarda uzaktan kod yürütme yetkisine sahip olmalarına olanak tanıyabilir.
Hewlett Packard Enterprise’ın (HPE) bir yan kuruluşu olan ve daha önce Aruba Networks adıyla bilinen HPE Aruba Networking, bu hafta yayınladığı bir güvenlik duyurusunda, başarılı bir istismarın tehdit aktörlerinin ayrıcalıklı erişimle keyfi kod yürütmesine olanak tanıdığı konusunda uyardı.
Güvenlik araştırmacısı Erik De Jong tarafından HPE Aruba Networking’in hata ödül programı aracılığıyla bildirilen güvenlik açıkları, Instant AOS-8 ve AOS 10 çalıştıran Aruba Erişim Noktalarını etkiliyor.
Etkilenen sürümler arasında AOS-10.6.xx (10.6.0.2 ve altı), AOS-10.4.xx (10.4.1.3 ve altı), Instant AOS-8.12.xx (8.12.0.1 ve altı) ve Instant AOS-8.10.xx (8.10.0.13 ve altı) yer alıyor.
Hewlett Packard Enterprise’ın (HPE) eskiden Aruba Networks olarak bilinen yan kuruluşu olan HPE Aruba Networking, müşterilerinin olası saldırıları engellemek için cihazlarını en son yazılıma (AOS-10.7.0.0, AOS-10.6.0.3, AOS-10.4.1.4, Instant AOS-8.12.0.2 veya Instant AOS-8.10.0.14) yükseltmelerini öneriyor (yamalar HPE Networking Destek Portalı’ndan indirilebilir).
Geçici çözüm mevcut, etkin bir sömürü yok
Instant AOS-8.x kodunu çalıştıran aygıtlar için geçici bir çözüm olarak, yöneticiler istismar girişimlerini engellemek için “cluster-security”i etkinleştirebilir. HPE, AOS-10 aygıtları için tüm güvenilmeyen ağlardan UDP/8211 bağlantı noktasına erişimin engellenmesini önerir.
HPE Aruba Networking ayrıca Ağ Mobilite İletkenleri, Mobilite Denetleyicileri ve SD-WAN Ağ Geçitleri gibi diğer Aruba ürünlerinin etkilenmediğini doğruladı.
HPE Ürün Güvenliği Müdahale Ekibi’ne göre, kamuya açık bir istismar kodu bulunmuyor ve üç kritik güvenlik açığını hedef alan bir saldırı bildirilmedi.
Şirket, bu yılın başlarında ayrıca tescilli ağ işletim sistemi ArubaOS’un birden fazla sürümünü etkileyen dört kritik RCE güvenlik açığını da düzeltti.
Şubat ayında Hewlett Packard Enterprise (HPE), bir tehdit aktörünün kimlik bilgilerini ve diğer hassas bilgileri (iddiaya göre HPE’den çalınmış) bir bilgisayar korsanlığı forumunda satışa sunmasının ardından olası bir ihlali araştırdığını duyurdu.
İki hafta önce, Mayıs 2023’te Rusya’nın Dış İstihbarat Servisi’ne (SVR) bağlı APT29 tehdit grubunun bir parçası olduğuna inanılan bilgisayar korsanları tarafından Microsoft Office 365 e-posta ortamının ihlal edildiğini bildirmişti.