HPE Aruba Networking fixes four critical RCE flaws in ArubaOS
2024/05/01 BleepingComputer — 4月30日に HPE Aruba Networking が公開したセキュリティ・アドバイザリは、同社独自のネットワーク OS である ArubaOS の、複数のバージョンに影響を及ぼす脆弱性に関するものだ。このアドバイザリには、10件の脆弱性が記載されており、そのうちの4件は、リモート・コード実行につながる可能性のある、深刻度 (CVSS v3.1:9.8) の認証を必要とせずに悪用が可能なバッファ・オーバーフローの脆弱性である。
新たに公開された脆弱性の影響を受ける製品は、以下のとおりだ:
- HPE Aruba Networking Mobility Conductor/Mobility Controllers/WLAN Gateway/Aruba Central によって管理されるSD-WAN Gateway
- ArubaOS 10.5.1.0 以下/10.4.1.0 以下/8.11.2.1 以下/8.10.0.10 以下
- ArubaOS/SD-WAN のサポート対象外となっている全てのバージョン。これには、ArubaOS 10.3 以下/8.9/8.8/8.7/8.6/6.5.4、SD-WAN 2.3.0~8.7.0.0/2.2~8.6.0.4 が含まれる。
以下の4件の脆弱性は、バッファ・オーバーフローに起因する RCE (remote code execution) 脆弱性であり、深刻度 Critical と評価されている:
- CVE-2024-26305:ArubaOS の Utility デーモンの欠陥により、認証されていない攻撃者は、PAPI (Process Application Programming Interface) UDP ポート (8211) に特別に細工したパケットを送信することで、RCE を引き起こすことが可能である。
- CVE-2024-26304:L2/L3 Management サービスの不具合により、認証されていない攻撃者が、細工したパケットを PAPI UDP ポートに送信することで、RCE にいたる恐れがある。
- CVE-2024-33511:自動レポート・サービスの脆弱性により、認証されていない攻撃者が、特別に細工したパケットを PAPI プロトコルのポートに送信することで、RCE にいたる恐れがある。
- CVE-2024-33512:PAPI プロトコルを経由してアクセスされる、ローカル・ユーザー認証データベース・サービスのバッファ・オーバーフローを悪用することで、未認証のリモートの攻撃者が、RCE を引き起こす可能性が生じる。
HPE Aruba Networking が推奨するのは、拡張 PAPI セキュリティを有効化し、ArubaOS のパッチを適用したバージョンにアップグレードすることで、この脆弱性を緩和することである。
4月30日に公開されたアドバイザリに記載されている、残りの6件の脆弱性は、いずれも深刻度は Medium (CVSS v3.1:5.3~5.9) となっている。これらの脆弱性が悪用されると、認証されていない攻撃者が、脆弱なデバイス上でサービス拒否を引き起こし、運用妨害にいたる可能性が生じる。
10件全ての不具合に対応する、アップグレード・バージョンは以下のとおりだ:
- ArubaOS 10.6.0.0 以上
- ArubaOS 10.5.1.1 以上
- ArubaOS 10.4.1.1 以上
- ArubaOS 8.11.2.2 以上
- ArubaOS 8.10.0.11 以上
現時点において、HPE Aruba Networking は、アクティブな悪用や、上記の脆弱性に対する PoC (Proof-of-concept) エクスプロイト・コードの存在を認識していないとのことだ。とは言え、利用可能なセキュリティ・アップデートを、可能な限り早急に適用することが、システム管理者に対して推奨される。
積極的な悪用や、PoC エクスプロイトは確認されていないようですが、迅速な対応が求められる ArubaOS の脆弱性です。この製品に関する、昨年の脆弱性ニュースは、2023/03/01 の「ArubaOS の深刻な脆弱性 CVE-2023-22747 などが FIX:RCE にいたる恐れ」となります。
IoT OT Security News 
You must be logged in to post a comment.