吳明宜HPE 上星期釋出安全更新,以修補 Aruba Networking 無線網路路由器 (AP) 軟體六項漏洞,包括二個極重大的指令注入漏洞。
這二個漏洞分別為 CVE-2024-42509 (CVSS 9.8) 及 CVE-2024-47460 (CVSS 9.0),影響 Aruba AP 的管理協定底層的指令行介面 (CLI) 服務。這會讓遠端非經授權的攻擊者傳送惡意封包到管理協定的 UDP 傳輸埠 8211,導致攻擊者可假冒合法用戶在底層作業系統上執行任意程式碼。
HPE 指出,受影響的產品為執行 Instant AOS-8 與 AOS-10 作業系統的 AP,包括已經不再支援的 AOS-6.x 和-8.x,以及 AOS-10.x 。
HPE 建議用戶開啟叢集安全 (cluster-security) 指令,可以防範跑 Instant AOS-8 程式碼的裝置受害。至於 AOS-10 則無法這麼做,只能封鎖所有不信任網路而來的 UDP/8211 傳輸埠連線。
HPE 還另外警告三項高風險遠端程式碼執行 (RCE) 漏洞,影響 AOS-8 及-10 CLI,包括 CVE-2024-47461 、 CVE-2024-47462 和 CVE-2024-47463 。
CVE-2024-47461 可讓經授權的攻擊者以權限用戶身份執行任意程式碼,並完全接管底層主機 OS 。 CVE-2024-47462 及 CVE-2024-47463,則允許授權的遠端攻擊者建立任意檔案,導致底層 OS 上的遠端程式碼執行。
將 CLI 和網頁管理介面限制在專門的 Layer 2/VLAN,並透過防火牆政策控管,可降低被濫用漏洞的機會。此外,還有一個高風險路徑遍歷 (path traversal) 漏洞,能讓攻擊者複製任意檔案或讀取其內容,影響 AOS-8 及-10 OS 。
六項漏洞的修補程式,已加入到 AOS-10.7.0.0 及 AOS-10.4.1.5,以及 Instant AOS-8.12.0.3 和 Instant AOS-8.10.0.14 。
所有漏洞都是在 Aruba 抓漏獎勵方案研究中發現,不過 HPE 沒有說明是否有任何攻擊漏洞情形。
來源:SecurityWeek