ArubaOS の深刻な脆弱性 CVE-2023-22747 などが FIX:RCE にいたる恐れ

Aruba Networks fixes six critical vulnerabilities in ArubaOS

2023/03/01 BleepingComputer — Aruba Networks が発表したのは、同社独自のネットワーク OS である ArubaOS の複数バージョンに影響する、6つの深刻 (Critical-Severity) の脆弱性について、顧客に通知するセキュリティ・アドバイザリである。この脆弱性は、Aruba Mobility Conductor/Aruba Mobility Controllers/Aruba-managed WLAN Gateway/SD-WAN Gateway に影響するものだ。Aruba Networksは、カリフォルニアに拠点を置く Hewlett Packard Enterprise の子会社であり、コンピュータ・ネットワークと無線接続ソリューションに特化した企業である。


今回、Aruba が対応した深刻な欠陥は、コマンド・インジェクションの脆弱性と、PAPI プロトコル (Aruba Networks のアクセスポイント管理プロトコル) におけるスタック・バッファオーバーフローの脆弱性に分類できる。

すべての欠陥は、セキュリティ・アナリストである Erik de Jong が発見したものであり、公式のバグバウンティ・プログラムを通じてベンダーに報告されたものだ。

コマンド・インジェクションの脆弱性は、CVE-2023-22747/CVE-2023-22748/CVE-2023-22749/CVE-2023-22750 であり、CVSS v3 の評価は 9.8 となっている。

認証されていないリモートの攻撃者は、UDP ポート 8211 を介して。特別に細工したパケットを PAPI に送信することで、ArubaOS 上の特権ユーザーとして任意のコードを実行できるようになる。

スタック・バッファオーバーフローの脆弱性は、CVE-2023-22751/CVE-2023-22752 であり、CVSS v3 評価は 9.8 となる。

これらの欠陥は、UDP ポート 8211 を介し。て特別に細工されたパケットを PAPI に送信することで悪用され、認証されていないリモート攻撃者が、ArubaOS 上の特権ユーザーとして任意のコードを実行できるようになる。

影響を受けるバージョンは以下の通りである。

  • ArubaOS 8.6.0.19 and below
  • ArubaOS 8.10.0.4 and below
  • ArubaOS 10.3.1.0 and below
  • SD-WAN 8.7.0.0-2.3.0.8 and below

Arubaによると、対象となるアップグレード・バージョンは以下の通りである。

  • ArubaOS 8.10.0.5 and above
  • ArubaOS 8.11.0.0 and above
  • ArubaOS 10.3.1.1 and above
  • SD-WAN 8.7.0.0-2.3.0.9 and above

残念ながら、EoL (End of Life) に達したバージョンも、これらの脆弱性の影響を受けているが、修正アップデートは行われない。EoL は以下の通りである。

  • ArubaOS 6.5.4.x
  • ArubaOS 8.7.x.x
  • ArubaOS 8.8.x.x
  • ArubaOS 8.9.x.x
  • SD-WAN 8.6.0.4-2.2.x.x

セキュリティ・アップデートを適用できないシステム管理者や、EoL デバイスを使用している場合の回避策として、デフォルト以外のキーを使用して “Enhanced PAPI Security” モードを有効化することも可能だ。 

しかし、この緩和策を適用しても、Aruba のセキュリティ・アドバイザリに記載されている、新バージョンで修正された 15件 の High 脆弱性と、8件の Mediul 脆弱性には対処できない。

Aruba は、アドバイザリのリリース日である 2022年2月28日の時点で、これらの脆弱性に関するパブリックな議論/エクスプロイトコード/アクティブな悪用については、認識していないとしている。

ArubaOS に脆弱性が発生したとのことですが、その Aruba Mobility Conductor について調べてみたら、最大 1,000 台のモビリティ・コントローラーの展開と管理を簡素化し、大規模なキャンパス展開を実現という説明がありました。Mobility といっても、交通移動手段に限定したものではないのでしょうか? Aruba 関連の記事としては、以下のものがあります。

2022/10/13:Aruba EdgeConnect の深刻な脆弱性
2022/05/03:NanoSSL の脆弱性:Aruba に影響
2021/11/10:HPE が認めた Aruba Central データ侵害