HPE Aruba Networking、ArubaOSの4つの重大なRCE欠陥を修正

HPE Aruba Networkingは2024年4月、同社独自のネットワーク・オペレーティング・システムであるArubaOSの複数のバージョンに影響を及ぼす重大なリモート・コード実行（RCE）の脆弱性について詳述したセキュリティ勧告を発表した。

このアドバイザリには、10件の脆弱性が記載されており、そのうちの4件は、リモートでコードを実行（RCE）される可能性のある重大度（CVSS v3.1: 9.8）の認証されていないバッファオーバーフローの問題です。

新たに公開された欠陥の影響を受ける製品は以下のとおりです：

• HPE Aruba Networking Mobility Conductor、Mobility Controllers、WLAN Gateway、およびAruba Centralによって管理されるSD-WAN Gatewayです。
• ArubaOS 10.5.1.0以下、10.4.1.0以下、8.11.2.1以下、8.10.0.10以下。
• EoLに達したArubaOSおよびSD-WANのすべてのバージョン。これには、10.3以下のArubaOS、8.9、8.8、8.7、8.6、6.5.4、およびSD-WAN 2.3.0～8.7.0.0、2.2～8.6.0.4が含まれます。

4つの重大なリモートコード実行の欠陥は以下の通り：

• CVE-2024-26305– ArubaOS の Utility デーモンの欠陥により、認証されていない攻撃者が PAPI (Aruba のアクセスポイント管理プロトコル) UDP ポート (8211) に特別に細工したパケットを送信することで、リモートで任意のコードを実行できます。
• CVE-2024-26304– L2/L3 Management サービスに不具合があり、細工したパケットを PAPI UDP ポートに送信することで、認証されていないリモートからのコード実行を許してしまいます。
• CVE-2024-33511– 自動レポートサービスに脆弱性があり、特別に細工したパケットを PAPI プロトコルのポートに送信することで悪用され、 認証されていない攻撃者にリモートで任意のコードを実行される可能性があります。
• CVE-2024-33512– PAPI プロトコルを経由してアクセスされるローカルユーザー認証データベースサービスのバッファオーバーフローを悪用することで、認証されていないリモートの攻撃者にコードを実行させることができる不具合があります。

この欠陥を緩和するために、ベンダーは、拡張 PAPI セキュリティを有効にし、ArubaOS のパッチを適用したバージョンにアップグレードすることを推奨しています。

最新バージョンでは、さらに6件の脆弱性にも対処しており、いずれも深刻度は「中」（CVSS v3.1: 5.3～5.9）となっています。この脆弱性により、認証されていない攻撃者が脆弱なデバイス上でサービス拒否を引き起こし、コストのかかる運用妨害を引き起こす可能性があります。

10件すべての不具合に対応するアップグレード対象バージョンは以下のとおりです：

• ArubaOS 10.6.0.0 以上
• ArubaOS 10.5.1.1以上
• ArubaOS 10.4.1.1以上
• ArubaOS 8.11.2.2以降
• ArubaOS 8.10.0.11以降

現時点では、HPE Aruba Networking は、アクティブな悪用の事例や、上記の脆弱性に対する概念実証 (PoC) の存在を認識していません。

ただし、システム管理者は、利用可能なセキュリティアップデートをできるだけ早く適用することを推奨します。