HPE warns of critical RCE flaws in Aruba Networking access points

Hewlett Packard Enterprise (HPE) は、Aruba Networking Access Point の 2 つの重大な脆弱性に対処するため、Instant AOS-8 および AOS-10 ソフトウェアのアップデートをリリースしました。

この 2 つのセキュリティ問題は、リモートの攻撃者が UDP ポート 8211 を介して Aruba の Access Point 管理プロトコル(PAPI)に特別に細工したパケットを送信することで、認証されていないコマンドインジェクションを実行できる可能性があります。

この重大な欠陥は、CVE-2024-42509 および CVE-2024-47460 として追跡され、それぞれ深刻度スコアが 9.8 および 9.0 と評価されています。どちらも、PAPIプロトコル経由でアクセスされるコマンドラインインターフェース(CLI)サービスにあります。

今回の更新では、さらに4件のセキュリティ脆弱性も修正されている:

  • CVE-2024-47461(深刻度スコア 7.2): 認証されたリモートコマンドの実行により、攻撃者が基礎となるオペレーティングシステム上で任意のコマンドを実行できる可能性があります。
  • CVE-2024-47462およびCVE-2024-47463 (深刻度スコア 7.2): 認証された攻撃者が任意のファイルを作成し、リモートでコマンドを実行される可能性があります。
  • CVE-2024-47464(深刻度スコア 6.8): 認証された攻撃者が、この脆弱性を悪用すると、パストラバーサル経由で不正なファイルにアクセスされる可能性があります。

6件の脆弱性はすべて、AOS-10.4.x.x:10.4.1.4およびそれ以前のリリース、Instant AOS-8.12.x.x:8.12.0.2およびそれ以下、Instant AOS-8.10.x.x:8.10.0.13およびそれ以前のバージョンに影響する。

HPEは、このセキュリティ勧告の中で、メンテナンス終了日を迎えたソフトウェアの他のいくつかのバージョンもこれらの欠陥の影響を受けており、これらのバージョンに対するセキュリティアップデートは提供されないと指摘している。

修正と回避策

Aruba Networking Access Pointの脆弱性に対処するため、HPEではデバイスを以下のソフトウェアバージョンまたはそれ以降にアップデートすることを推奨しています:

  • AOS-10.7.x.x:AOS-10.7.x.x:バージョン 10.7.0.0 以降にアップデートします。
  • AOS-10.4.x.x:バージョン10.4.1.5以降にアップデートしてください。
  • インスタントAOS-8.12.x.x:バージョン8.12.0.3以降にアップデートしてください。
  • インスタントAOS-8.10.x.x:バージョン 8.10.0.14 以降にアップデートしてください。

HPEは、ソフトウェアアップデートをすぐにインストールできない場合に役立つよう、6つの欠陥すべてに対する回避策も提供している:

2つの重大な欠陥については、すべての信頼されていないネットワークからの UDP ポート 8211 へのアクセスを制限/ブロックすることが回避策として提案されています。

その他の問題については、CLI および Web ベースの管理インターフェイスを専用のレイヤー 2 セグメントまたは VLAN に配置することでアクセスを制限し、レイヤー 3 以上のファイアウォール ポリシーでアクセスを制御することで、潜在的な暴露を制限することをベンダーは推奨している。

この欠陥の積極的な悪用は確認されていないが、セキュリティ・アップデートや緩和策の適用を強く推奨している。