Aruba Networks は、独自のネットワーク オペレーティング システムである ArubaOS の複数のバージョンに影響を与える 6 つの重大度の脆弱性について顧客に通知するセキュリティ アドバイザリを公開しました。
この脆弱性は、Aruba Mobility Conductor、Aruba Mobility Controller、および Aruba が管理する WLAN ゲートウェイと SD-WAN ゲートウェイに影響を与えます。
Aruba Networks はカリフォルニアに本拠を置く Hewlett Packard Enterprise の子会社で、コンピュータ ネットワーキングとワイヤレス接続ソリューションを専門としています。
今回 Aruba が対処した重大な欠陥は、コマンド インジェクションの欠陥と、PAPI プロトコル (Aruba Networks アクセス ポイント管理プロトコル) におけるスタックベースのバッファ オーバーフローの問題の 2 つのカテゴリに分けることができます。
すべての欠陥は、セキュリティ アナリストの Erik de Jong によって発見され、公式のバグ報奨金プログラムを通じてベンダーに報告されました。
コマンド インジェクションの脆弱性はCVE-2023-22747 、 CVE-2023-22748 、 CVE-2023-22749 、およびCVE-2023-22750として追跡されており、CVSS v3 の評価は 10.0 点中 9.8 です。
認証されていないリモートの攻撃者は、特別に細工されたパケットを UDP ポート 8211 経由で PAPI に送信することで、それらを悪用し、ArubaOS の特権ユーザーとして任意のコードを実行できます。
スタックベースのバッファ オーバーフロー バグはCVE-2023-22751およびCVE-2023-22752として追跡されており、CVSS v3 評価は 9.8 です。
これらの欠陥は、特別に細工されたパケットを UDP ポート 8211 経由で PAPI に送信することで悪用され、認証されていないリモートの攻撃者が ArubaOS の特権ユーザーとして任意のコードを実行できるようになります。
影響を受けるバージョンは次のとおりです。
- ArubaOS 8.6.0.19 以下
- ArubaOS 8.10.0.4 以下
- ArubaOS 10.3.1.0 以下
- SD-WAN 8.7.0.0-2.3.0.8 以下
Aruba によると、対象のアップグレード バージョンは次のとおりです。
- ArubaOS 8.10.0.5 以降
- ArubaOS 8.11.0.0 以降
- ArubaOS 10.3.1.1 以降
- SD-WAN 8.7.0.0-2.3.0.9 以降
残念ながら、サポート終了 (EoL) に達したいくつかの製品バージョンもこれらの脆弱性の影響を受けており、修正プログラムを受け取ることはありません。これらは:
- アルバOS 6.5.4.x
- ArubaOS 8.7.xx
- ArubaOS 8.8.xx
- ArubaOS 8.9.xx
- SD-WAN 8.6.0.4-2.2.xx
セキュリティ アップデートを適用できない、または EoL デバイスを使用しているシステム管理者向けの回避策は、デフォルト以外のキーを使用して「Enhanced PAPI Security」モードを有効にすることです。
ただし、緩和策を適用しても、 Aruba のセキュリティ アドバイザリに記載されている別の 15 件の高重大度および 8 件の中重大度の脆弱性には対処できず、これらは新しいバージョンで修正されています。
Aruba は、アドバイザリのリリース日である 2022 年 2 月 28 日の時点で、これらの脆弱性の公開討論、エクスプロイト コード、または積極的なエクスプロイトを認識していないと述べています。
Comments