Aruba EdgeConnect の深刻な脆弱性 CVE-2022-37913 などが FIX:認証バイパスの可能性

Aruba fixes critical vulnerabilities in EdgeConnect Enterprise Orchestrator

2022/10/13 SecurityAffairs — Aruba は、EdgeConnect Enterprise Orchestrator に存在する、リモート攻撃にいたる恐れのある、複数の深刻な脆弱性に対処した。Aruba EdgeConnect Orchestrator とは、企業が WAN を制御するための SD-WAN を、一元管理するソリューションである。この Aruba EdgeConnect Orchestrator の Web ベース管理インターフェイスに存在する、認証バイパスの脆弱性 CVE-2022-37913/CVE-2022-37914 (CVSS : 9.8) のトリガーとして、脅威アクターは認証バイパスを達成できる。

同社のアドバイザリには、「Aruba EdgeConnect Enterprise Orchestrator の、Web ベース管理インターフェイスに存在する脆弱性により、認証されていないリモートの攻撃者による認証バイパスを許す可能性が生じる。これらの脆弱性の悪用に成功した攻撃者は、管理者権限を不正に取得し、Aruba EdgeConnect Enterprise Orchestrator ホストを、完全に侵害する可能性がある」と記されている。

また、Aruba は、EdgeConnect Enterprise Orchestrator の Web ベース管理インターフェイスにおける、未認証のリモートコード実行の問題にも対処している。この脆弱性 CVE-2022-37915 の悪用に成功した攻撃者は、基盤となるホスト上で任意のコマンドを実行し、システムを危険にさらすことが可能となる。

同社は、以下のバージョンにより、これらの問題に対処した。

  • Aruba EdgeConnect Enterprise Orchestrator 9.2.0.40405 以降
  • Aruba EdgeConnect Enterprise Orchestrator 9.1.3.40197 以降
  • Aruba EdgeConnect Enterprise Orchestrator 9.0.7.40110 以降
  • Aruba EdgeConnect Enterprise Orchestrator 8.10.23.40015 以降

Aruba は、EoS (End of Support) に達したバージョンをアップデートすることはないとしている。このレポートの時点では、サポートされている現行バージョンは以下のとおりとなる。

  • Aruba EdgeConnect Enterprise Orchestrator 9.2.x
  • Aruba EdgeConnect Enterprise Orchestrator 9.1.x
  • Aruba EdgeConnect Enterprise Orchestrator 9.0.x
  • Aruba EdgeConnect Enterprise Orchestrator 8.10.x

上記の脆弱性が、悪用される可能性を最小限に抑えるため、CLI および Web ベース管理インターフェイスに関して、専用の Layer 2 Segment/VLAN への制限もしくは、Layer 3 以上のファイアウォール・ポリシーでの制御が推奨されている。

なお、現時点では、上記の脆弱性を悪用した攻撃は確認されていない。

これまでの Aruba に関する記事としては、2021年11月10日の「HPE が認めた Aruba Central データ侵害はアクセスキーの窃取が入り口だった」と、2022年5月3日の「TLStorm 2.0 という NanoSSL の深刻な脆弱性:Aruba/Avaya ネットワーク・スイッチに影響」がありました。また、5月25日の「Google 警告:Zoom のリモートコード実行の脆弱性とゼロクリックの詳細」にも関連しているようです。よろしければ、ご参照ください。

%d bloggers like this: