运行AOS-8和AOS-10的Aruba接入点需要紧急打补丁,因为HPE为其网络子公司接入点中的三个关键漏洞发布了修复程序。
这些问题将允许未经身份验证的攻击者通过向UDP端口8211发送精心构造的数据包来在Aruba系统上执行代码。该端口是操作系统专有的访问协议接口(PAPI),这将为恶意人员提供对设备的特权访问。
这三个漏洞——CVE-2024-42505、CVE-2024-42506 和 CVE-2024-42507——在CVSS严重性评分中均被评为9.8(满分10分)。
这些漏洞影响AOS 10.6.x.x版本(包括10.6.0.2及之前版本)以及Instant AOS 8.12.x.x版本(8.12.0.1及更早版本)。HPE还警告说,已经停止支持的代码,包括AOS 10.5和10.3,以及Instant AOS-8.11及其之前的版本也受到影响,并建议升级这些系统以获得保护。
“通过启用cluster-security命令可以防止运行Instant AOS-8.x代码的设备被利用这些漏洞。”HPE在其安全警报中建议。“对于AOS-10设备来说,这不是一个选项,而应该从所有不受信任的网络中阻止对UDP端口8211的访问。”这不是PAPI今年首次被发现存在严重问题。早在五月份,Aruba就在公开的概念验证利用代码发布后修复了系统中的四个关键漏洞,并在不到一周后又发布了更多补丁。
这些补丁对于美国军方内的系统管理员尤为关切。早在2020年,Aruba就因成为五角大楼的首选供应商而取得重大胜利,当时军方与思科关系破裂并开始更换其设备。
HPE感谢Erik de Jong发现了这些漏洞,他是一名兼职漏洞研究员,日常工作是荷兰电信公司DELTA Fiber的安全官员。这些漏洞是通过Bugcrowd提交的,他表示自己的业余爱好帮助他还清了一部分房贷。
在发布时,HPE表示尚未发现有任何迹象表明这些问题已在野外被利用。然而,随着补丁的发布,鉴于问题的严重性,这种情况可能会发生变化。®
发表评论
您还未登录,请先登录。
登录