Aruba

HPE Aruba Networkingは2024年4月、同社独自のネットワーク・オペレーティング・システムであるArubaOSの複数のバージョンに影響を及ぼす重大なリモート・コード実行(RCE)の脆弱性について詳述したセキュリティ勧告を発表した。

このアドバイザリには、10件の脆弱性が記載されており、そのうちの4件は、リモートでコードを実行(RCE)される可能性のある重大度(CVSS v3.1: 9.8)の認証されていないバッファオーバーフローの問題です。

新たに公開された欠陥の影響を受ける製品は以下のとおりです:

  • HPE Aruba Networking Mobility Conductor、Mobility Controllers、WLAN Gateway、およびAruba Centralによって管理されるSD-WAN Gatewayです。
  • ArubaOS 10.5.1.0以下、10.4.1.0以下、8.11.2.1以下、8.10.0.10以下。
  • EoLに達したArubaOSおよびSD-WANのすべてのバージョン。これには、10.3以下のArubaOS、8.9、8.8、8.7、8.6、6.5.4、およびSD-WAN 2.3.0~8.7.0.0、2.2~8.6.0.4が含まれます。

4つの重大なリモートコード実行の欠陥は以下の通り:

  • CVE-2024-26305– ArubaOS の Utility デーモンの欠陥により、認証されていない攻撃者が PAPI (Aruba のアクセスポイント管理プロトコル) UDP ポート (8211) に特別に細工したパケットを送信することで、リモートで任意のコードを実行できます。
  • CVE-2024-26304– L2/L3 Management サービスに不具合があり、細工したパケットを PAPI UDP ポートに送信することで、認証されていないリモートからのコード実行を許してしまいます。
  • CVE-2024-33511– 自動レポートサービスに脆弱性があり、特別に細工したパケットを PAPI プロトコルのポートに送信することで悪用され、 認証されていない攻撃者にリモートで任意のコードを実行される可能性があります。
  • CVE-2024-33512– PAPI プロトコルを経由してアクセスされるローカルユーザー認証データベースサービスのバッファオーバーフローを悪用することで、認証されていないリモートの攻撃者にコードを実行させることができる不具合があります。

この欠陥を緩和するために、ベンダーは、拡張 PAPI セキュリティを有効にし、ArubaOS のパッチを適用したバージョンにアップグレードすることを推奨しています。

最新バージョンでは、さらに6件の脆弱性にも対処しており、いずれも深刻度は「中」(CVSS v3.1: 5.3~5.9)となっています。この脆弱性により、認証されていない攻撃者が脆弱なデバイス上でサービス拒否を引き起こし、コストのかかる運用妨害を引き起こす可能性があります。

10件すべての不具合に対応するアップグレード対象バージョンは以下のとおりです:

  • ArubaOS 10.6.0.0 以上
  • ArubaOS 10.5.1.1以上
  • ArubaOS 10.4.1.1以上
  • ArubaOS 8.11.2.2以降
  • ArubaOS 8.10.0.11以降

現時点では、HPE Aruba Networking は、アクティブな悪用の事例や、上記の脆弱性に対する概念実証 (PoC) の存在を認識していません。

ただし、システム管理者は、利用可能なセキュリティアップデートをできるだけ早く適用することを推奨します。