Aruba が EdgeConnect の重要な RCE および認証バイパスの欠陥を修正

Aruba は、EdgeConnect Enterprise Orchestrator のセキュリティ アップデートをリリースしました。これは、リモートの攻撃者がホストを危険にさらす可能性がある複数の重大な脆弱性に対処しています。

Aruba EdgeConnect Orchestrator は、広く使用されている WAN 管理ソリューションであり、企業ユーザーに最適化、管理、自動化、およびリアルタイムの可視性と監視機能を提供します。

この製品の重大で簡単に悪用できる欠陥は、システムとネットワークにリスクをもたらすため、管理者は利用可能なセキュリティ更新プログラムを適用することを優先する必要があります。

最新の Aruba パッチで修正された脆弱性は次のとおりです。

CVE-2022-37913およびCVE-2022-37914 (CVSS v3.1 – 9.8): EdgeConnect Orchestrator の Web ベースの管理インターフェイスに認証バイパスの欠陥があり、認証されていないリモートの攻撃者が認証をバイパスできます。

この脆弱性の悪用に成功すると、攻撃者が資格情報なしで権限を管理者に昇格させ、完全なホスト侵害への道を開くことになります。

CVE-2022-37915 (CVSS v3.1 – 9.8): EdgeConnect Orchestrator の Web ベースの管理インターフェイスに欠陥があり、基盤となるホストで任意のコマンドを実行でき、完全なシステム侵害につながります。

重大なセキュリティ問題に対処するバージョンは次のとおりです。

• Aruba EdgeConnect Enterprise Orchestrator 9.2.0.40405 以降
• Aruba EdgeConnect Enterprise Orchestrator 9.1.3.40197 以降
• Aruba EdgeConnect Enterprise Orchestrator 9.0.7.40110 以降
• Aruba EdgeConnect Enterprise Orchestrator 8.10.23.40015 以降

古いバージョンはベンダーによってサポートされておらず、上記の脆弱性に対するセキュリティ更新プログラムは提供されません。したがって、古いバージョンのユーザーは、できるだけ早く新しい製品リリースにアップグレードすることをお勧めします。

セキュリティ アドバイザリでベンダーが提供する回避策は、製品の CLI および Web ベースの管理インターフェイスを専用のレイヤー 2 セグメント/VLAN に制限するか、ファイアウォール ポリシーをレイヤー 3 以上に設定することです。

Aruba は、今日の時点で、言及された欠陥の積極的な悪用を検出しておらず、脆弱性を標的とする議論や概念実証の悪用を確認していないと述べています。

ただし、重要な環境での EdgeConnect の脆弱性と広範な展開の重大性を考慮すると、攻撃者が脆弱性のエクスプロイトを作成しようとすることを示唆するのは安全です。

攻撃に使用する PoC エクスプロイトがなくても、ハッカーは通常、欠陥が開示されてから数分以内にスキャンを開始し、将来の使用または販売のために悪用可能なターゲットのリストを作成します。