Kritické zraniteľnosti v prístupových bodoch od HPE Aruba Networking

Spoločnosť Hewlett Packard Enterprise vydala bezpečnostné aktualizácie, ktoré opravujú 6 zraniteľností v operačných systémoch Instant AOS-8 a AOS-10 používaných v prístupových bodoch Aruba Series, z čoho 2 sú označené ako kritické. Zraniteľnosti CVE-2024-42509 a CVE-2024-47460 možno zneužiť na injekciu príkazov a vzdialené vykonanie škodlivého kódu.

Zraniteľné systémy:

Prístupové body Aruba Series 103, 110, 120, 130, 200, 207, 210, 220, 300, 303, 310, 320, 330, 340, 500, 510, 530, 550, 630 a 650 s operačným systémom Instant AOS-8 a AOS-10:

  • AOS-10.4.x.x vo verzii staršej ako 10.4.1.5
  • AOS-10.6.x.x vo všetkých verziách (ukončená podpora)
  • AOS-10.5.x.x vo všetkých verziách (ukončená podpora)
  • AOS-10.3.x.x vo všetkých verziách (ukončená podpora)
  • Instant AOS-8.12.x.x vo verzii staršej ako 8.12.0.3
  • Instant AOS-8.10.x.x vo verzii staršej ako 8.10.0.14
  • Instant AOS-8.11.x.x vo všetkých verziách (ukončená podpora)
  • Instant AOS-8.9.x.x vo všetkých verziách (ukončená podpora)
  • Instant AOS-8.8.x.x vo všetkých verziách (ukončená podpora)
  • Instant AOS-8.7.x.x vo všetkých verziách (ukončená podpora)
  • Instant AOS-8.6.x.x vo všetkých verziách (ukončená podpora)
  • Instant AOS-8.5.x.x vo všetkých verziách (ukončená podpora)
  • Instant AOS-8.4.x.x vo všetkých verziách (ukončená podpora)
  • Instant AOS-6.5.x.x vo všetkých verziách (ukončená podpora)
  • Instant AOS-6.4.x.x vo všetkých verziách (ukončená podpora)

Opis zraniteľnosti:

CVE-2024-42509 (CVSS skóre 9,8), CVE-2024-47460 (CVSS skóre 9,0)

Kritické zraniteľnosti CVE-2024-42509 a CVE-2024-47460 sa nachádzajú v CLI (Command Line Interface) službe a vzdialený neautentifikovaný útočník by ich mohol zneužiť na injekciu príkazov a vykonanie škodlivého kódu. Zraniteľnosti je možné zneužiť zaslaním špeciálne vytvorených paketov na UDP port 8211, na ktorom počúva protokol PAPI slúžiaci na manažment prístupových bodov.

CVE-2024-47461 (CVSS skóre 7,2), CVE-2024-47462 (CVSS skóre 7,2), CVE-2024-47463 (CVSS skóre 7,2), CVE-2024-47464 (CVSS skóre 6,8)

Vysoko závažné zraniteľnosti by vzdialený autentifikovaný útočník mohol zneužiť na vzdialené vykonanie škodlivého kódu alebo získanie neoprávneného prístupu k citlivým údajom.

Možné škody:

  • Vzdialené vykonanie kódu
  • Neoprávnený prístup k citlivým údajom

Odporúčania:

Spoločnosť Hewlett Packard Enterprise odporúča bezodkladnú aktualizáciu AOS-10 na verzie 10.4.1.5, 10.7.0.0, alebo novšie a Instant AOS-8 na verzie 8.10.0.14, 8.12.0.3 alebo novšie. V prípadoch, kedy nie je možné vykonať aktualizáciu, výrobca odporúča limitovať prístup k manažmentovým rozhraniam prostredníctvom sieťových a bezpečnostných prvkov. V prípade produktov s ukončenou podporou výrobca odporúča prechod na produkty s platnou technickou podporou. Ďalšie odporúčania výrobcu pre mitigáciu zraniteľností môžete nájsť tu.

Zdroje: