HPE Aruba Networking fixes critical flaws impacting Access Points
2024/09/26 BleepingComputer — HPE Aruba Networking が発表したのは、Aruba Access Points の Command Line Interface (CLI) に存在する3件の重大な脆弱性の修正である。これらの脆弱性 CVE-2024-42505/CVE-2024-42506/CVE-2024-42507 の悪用に成功した未認証の攻撃者は、脆弱なデバイスに対してリモート・コード実行を達成する可能性を手にする。特別に細工されたパケットの PAPI (Aruba Access Points 管理プロトコル) UDP ポート (8211) への送信により、これらの脆弱性が悪用されると、特権アクセスが不正に取得され、脆弱なデバイスで任意のコード実行にいたる可能性が生じる。
今週の初めにリリースされたセキュリティ・アドバイザリで、Hewlett Packard Enterprise (HPE) の子会社である Aruba Networks は、これらのセキュリティ上の欠陥が、Instant AOS-8/AOS-10 を実行している Aruba Access Points に影響を及ぼすことを確認した。
それらの脆弱性は、同社のバグバウンティ・プログラムを通じて、セキュリティ研究者である Erik De Jong により報告されたものであり、影響を受けるソフトウェア・バージョンは次のとおりとなる:
- AOS-10.6.x.x:10.6.0.2 以下
- AOS-10.4.x.x:10.4.1.3 以下
- Instant AOS-8.12.x.x:8.12.0.1 以下
- Instant AOS-8.10.x.x:8.10.0.13 以下
同社が管理者に対して強く推奨するのは、脆弱なアクセス・ポイントに最新のセキュリティ更新プログラム (HPE Networking Support Portal から入手可能) をインストールし、潜在的な攻撃を防ぐことである。
回避策はあり アクティブな悪用はなし
Instant AOS-8.x コードを実行している、デバイスにおける一時的な回避策として、管理者は “cluster-security” を有効化して悪用の試みをブロックできる。また、AOS-10 デバイスについては、信頼できない全てのネットワークに対して、ポート UDP/8211 へのアクセスをブロックすることを推奨している。
その一方で HPE Aruba Networking は、Networking Mobility Conductor/Mobility Controller/SD-WAN Gateway などの Aruba 製品は影響を受けないことを確認している。
HPE の Product Security Response Team によると、公開されているエクスプロイト・コードは存在せず、3件の深刻な脆弱性を狙う攻撃の報告もないという。
2024年の初めに同社は、独自のネットワーク OS である ArubaOS の複数のバージョンに影響を与える、4件の深刻な RCE 脆弱性にもパッチを適用している。
そして2月には、脅威アクターが HPE から盗み出したとする認証情報や機密情報が、ハッキング ・フォーラムで販売されたことを受けて、潜在的な侵害を調査中であると発表している。同社が、その2週間前に報告していたのは、ロシア対外情報局 (SVR) とつながりのある脅威グループ APT29 の一員とみられるハッカーにより、2023年5月に Microsoft Office 365 の電子メール環境が侵害されていたことだった。
Aruba Access Points に存在する脆弱性が FIX とのことです。ご利用のチームは、ご注意ください。最近の関連記事としては、2024/08/08 の「HPE Aruba Soft AP の深刻な脆弱性が FIX:アップデートと緩和策について」と、2024/05/14 の「Aruba Access Points の複数の脆弱性が FIX:デバイスの乗っ取りにいたる可能性」があります。よろしければ、Aruba で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.