Hewlett Packard Enterprise (HPE) heeft beveiligingsupdates uitgebracht om meerdere kwetsbaarheden op te lossen die van invloed zijn op Aruba Networking Access Point-producten, waaronder twee kritieke bugs die kunnen resulteren in niet-geverifieerde opdrachtuitvoering.
De gebreken zijn van invloed op toegangspunten met Instant AOS-8 en AOS-10 –
- AOS-10.4.xx: 10.4.1.4 en lager
- Instant AOS-8.12.xx: 8.12.0.2 en lager
- Instant AOS-8.10.xx: 8.10.0.13 en lager
De ernstigste van de zes nieuw gepatchte kwetsbaarheden zijn CVE-2024-42509 (CVSS-score: 9,8) en CVE-2024-47460 (CVSS-score: 9,0), twee kritieke, niet-geverifieerde fouten in de opdrachtinjectie in de CLI-service die kunnen leiden tot de uitvoering van willekeurige code.
“De kwetsbaarheid voor commando-injectie in de onderliggende CLI-service zou kunnen leiden tot niet-geverifieerde uitvoering van externe code door speciaal vervaardigde pakketten te verzenden die bestemd zijn voor de UDP-poort (8211) van PAPI (Aruba’s Access Point Management Protocol)”, zei HPE in een advies over beide fouten.
“Succesvolle exploitatie van dit beveiligingslek resulteert in de mogelijkheid om als geprivilegieerde gebruiker willekeurige code uit te voeren op het onderliggende besturingssysteem.”
Het wordt aanbevolen om clusterbeveiliging in te schakelen via de opdracht cluster-security om CVE-2024-42509 en CVE-2024-47460 te beperken op apparaten met Instant AOS-8-code. Voor AOS-10-apparaten raadt het bedrijf echter aan om de toegang tot UDP-poort 8211 vanaf alle niet-vertrouwde netwerken te blokkeren.
Ook opgelost door HPE zijn vier andere kwetsbaarheden:
- CVE-2024-47461 (CVSS-score: 7,2) – Een geverifieerde willekeurige uitvoering van opdrachten op afstand (RCE) in Instant AOS-8 en AOS-10
- CVE-2024-47462 en CVE-2024-47463 (CVSS-scores: 7,2) – Een kwetsbaarheid voor het maken van willekeurige bestanden in Instant AOS-8 en AOS-10 die leidt tot het uitvoeren van geverifieerde opdrachten op afstand
- CVE-2024-47464 (CVSS-score: 6,8) – Een geverifieerde kwetsbaarheid bij het doorlopen van paden leidt tot ongeautoriseerde toegang op afstand tot bestanden
Als tijdelijke oplossing worden gebruikers aangespoord om de toegang tot CLI en webgebaseerde beheerinterfaces te beperken door deze in een speciaal VLAN te plaatsen en deze te controleren via firewallbeleid op laag 3 en hoger.
“Hoewel er nog niet eerder gerapporteerd is dat de Aruba Network-toegangspunten in het wild worden uitgebuit, zijn ze een aantrekkelijk doelwit voor bedreigingsactoren vanwege de potentiĆ«le toegang die deze kwetsbaarheden zouden kunnen bieden via bevoorrechte gebruiker RCE”, aldus Arctic Wolf. “Bovendien kunnen bedreigingsactoren in de nabije toekomst proberen de patches te reverse-engineeren om niet-gepatchte systemen te misbruiken.”