Точки доступа Aruba под управлением AOS-8 и AOS-10 необходимо срочно устранить после того, как HPE выпустила исправления для трех критических уязвимостей в сетевых точках доступа своего дочернего предприятия.
Эти проблемы позволят неаутентифицированному злоумышленнику запустить код на системах Aruba, отправив тщательно созданные пакеты на порт UDP 8211, проприетарный интерфейс протокола доступа (PAPI) операционной системы, который предоставит злоумышленнику привилегированный доступ к оборудованию.
Три уязвимости — CVE-2024-42505, CVE-2024-42506 и CVE-2024-42507 — все имеют рейтинг 9,8 из 10 по шкале серьезности CVSS.
Уязвимости затрагивают версии AOS 10.6.x.x (до 10.6.0.2 включительно), а также Instant AOS 8.12.x.x (8.12.0.1 и более ранние версии). HPE также предупреждает, что код с истекшим сроком службы, включая AOS 10.5 и 10.3, и Instant AOS-8.11, а также более ранние воплощения, и советует обновить эти системы, чтобы получить защиту.
«Включение кластерной безопасности с помощью команды cluster-security предотвратит эксплуатацию этих уязвимостей в устройствах, работающих под управлением кода Instant AOS-8.x», — сообщила HPE в своем предупреждении о безопасности. «Для устройств AOS-10 это не вариант, и вместо этого доступ к порту UDP 8211 должен быть заблокирован из всех ненадежных сетей».
Это не первый раз, когда в этом году были выявлены серьезные проблемы с PAPI. Еще в мае Aruba исправила четыре критических недостатка в системе после того, как был выпущен код эксплойта для проверки концепции, а затем менее чем через неделю выпустила дополнительные исправления.
Эти исправления будут особенно интересны системным администраторам в вооруженных силах США. В 2020 году Aruba одержала крупную победу, став предпочтительным поставщиком Пентагона после того, как военные поссорились с Cisco и начали заменять ее комплект.
HPE приписала обнаружение недостатков Эрику де Йонгу, искателю недостатков на неполный рабочий день, чья основная работа — сотрудник службы безопасности в голландской телекоммуникационной компании DELTA Fiber. Уязвимости были отправлены через Bugcrowd, и он приписал свое хобби выплате части своей ипотеки.
На момент публикации HPE заявила, что не обнаружила никаких доказательств того, что проблемы эксплуатируются в дикой природе. Однако теперь, когда исправления выпущены, и учитывая их серьезность, это, вероятно, изменится. ®