HPE Aruba の脆弱性 CVE-2024-42509 (CVSS 9.8) などが FIX:ただちにアップデートを!

CVE-2024-42509 (CVSS 9.8): Critical Vulnerability Exposes Aruba Access Points to Attack

2024/11/06 SecurityOnline — HPE Aruba Networking が発行したのは、Instant AOS-8/AOS-10 を実行するアクセス・ポイントに影響を及ぼす、複数の深刻な脆弱性に関するセキュリティ・アドバイザリ警告である。これらの脆弱性が悪用されると、リモートコード実行 (RCE)/不正アクセス/システム全体の侵害につながる可能性があるという。すでに同社は、これらの脆弱性に対処するパッチをリリースしている。

これらの問題の中で、最も深刻なのは、認証を必要としないコマンド・インジェクションの脆弱性 CVE-2024-42509 (CVSS:9.8) である。この脆弱性の悪用に成功した攻撃者は、Aruba のアクセス・ポイント管理サービスで多用される、PAPI プロトコルの UDP ポート (8211) に対して、特別に細工されたパケットを送信することで、任意のリモート・コード実行の可能性を得る。HPE Aruba のアドバイザリには、「この脆弱性の悪用に成功した攻撃者は、基盤となるオペレーティング・ システム上の特権ユーザーとして、任意のコードを実行できるようになる」と記されている。

Erik De Jong 氏が発見した

2つ目の深刻な脆弱性 CVE-2024-47460 (CVSS:9.0)も、PAPI プロトコルに影響を及ぼすものである。この脆弱性も重大なリスクをもたらすため、早急な対応が必要となる。AOS-10 を実行しているデバイスの場合には、クラスター・セキュリティを有効化するオプションが存在しないため、信頼できないネットワークからの UDP ポート 8211 へのアクセスを、ブロックすることを HPE Aruba は推奨している。

これらの脆弱性とは別に、このアドバイザリで取り上げられているのは、AOS-8/AOS-10 における、認証を必要とする RCE とファイル作成の問題である。そこには、以下のものが含まれる:

CVE-2024-47461 (CVSS:7.2):CLI アクセス権を持つ攻撃者が特権コマンドを実行できる、認証を必要とするコマンド・インジェクションの脆弱性。

CVE-2024-47462/CVE-2024-47463: 任意のファイル作成の脆弱性:これらの脆弱性の悪用に成功した攻撃者は、システム内に特定のファイルを作成し、リモート・コマンドを実行する可能性を手にする。同社のアドバイザリには、「悪用が成功すると、基盤となるオペレーティング・システム上で、リモートコマンド実行 (RCE) が発生する可能性がある」と記されている。

これらのリスクを軽減するために、HPE Aruba がユーザーに推奨するのは、CLI および Web ベースの管理インターフェイスを専用の VLAN に制限すること、そして、Layer 3 以上にファイアウォール・ポリシーを適用することである。

なお、アドバイザリは、Medium レベルの脆弱性 CVE-2024-47464 にも対処している。この脆弱性の悪用に成功した攻撃者は、パス・トラバーサル手法を使用して、システム上のファイルにアクセスできる。具体的に言うと、ユーザーが読み取り可能な場所に、任意のファイルをコピーすることが可能となり、機密情報の漏洩にいたる恐れがある。

HPE Aruba がユーザーに強く推奨するのは、最新のソフトウェア・パッチを適用することである。影響を受けるバージョンには、AOS-10.4.1.4 以下/AOS-8.12.0.2 以下が含まれる。また、AOS-10.6.x.x/AOS-8.5.x.x などの、メンテナンス終了バージョンなどの、パッチが利用できない製品の場合には、脆弱なサービスへのアクセスの無効化および、厳密なネットワーク・セグメンテーションの採用を、HPE Aruba は推奨している。

すぐに更新できないユーザーのために、HPE Aruba は以下の回避策を提供している:

  • ネットワーク・セグメンテーション:管理インターフェイスへのアクセスを制限すると、これらの脆弱性にさらされる可能性を制限できる。
  • クラスター:セキュリティの有効化: この設定により、AOS-8 デバイスへの不正アクセスを防止できる。

HPE Aruba に複数の脆弱性ですが、その中でも CVE-2024-42509/CVE-2024-42510 が深刻とのことです。Instant AOS-8 と AOS-10 では、対応に相違点があるようなので、その点も含めて、ご利用のチームは、ご注意ください。よろしけば、Aruba で検索を、ご参照ください。