9,8 из 10: ArubaOS подвержена сразу четырём критическим уязвимостям

9,8 из 10: ArubaOS подвержена сразу четырём критическим уязвимостям

Лишь обновление до безопасной версии убережёт ваши сетевые устройства от взлома.

image

На этой неделе Aruba Networks, дочерняя компания Hewlett Packard Enterprise (HPE), предоставила информацию о десяти уязвимостях в операционной системе ArubaOS, из которых четыре классифицированы как критические. Они могут привести к выполнению произвольного кода с привилегиями пользователя.

Все критические уязвимости имеют оценку 9,8 балла по шкале CVSS и связаны с переполнением буфера, затрагивая различные компоненты системы. А именно:

  • CVE-2024-26305 затрагивает служебный демон в ArubaOS;
  • CVE-2024-26304 затрагивает сервис управления L2/L3 в ArubaOS;
  • CVE-2024-33511 затрагивает сервис автоматической отчётности в ArubaOS;
  • CVE-2024-33512 затрагивает базу данных аутентификации локальных пользователей в ArubaOS.

Код PoC-эксплойта ещё не выпущен, но в рекомендациях по безопасности говорится, что доступ ко всем четырём компонентам осуществляется через UDP-порт 8211 интерфейса прикладного программирования Aruba (PAPI), и отправка специально созданных пакетов может привести к выполнению произвольного кода.

Затронуты такие устройства, как Aruba Mobility Conductors, Mobility Controllers, а также WLAN и SD-WAN шлюзы, управляемые через Aruba Central.

Список версий ПО, требующих обновления, следующий: ArubaOS 10.5.x.x: 10.5.1.0 и ниже; ArubaOS 10.4.x.x: 10.4.1.0 и ниже; ArubaOS 8.11.x.x: 8.11.2.1 и ниже; ArubaOS 8.10.x.x: 8.10.0.10 и ниже.

Также приведён список версий программного обеспечения, которые уязвимы для вышеприведённых проблем безопасности, но больше не получают техническую поддержку: ArubaOS 10.3.x.x; ArubaOS 8.9.x.x; ArubaOS 8.8.x.x; ArubaOS 8.7.x.x; ArubaOS 8.6.x.x; ArubaOS 6.5.4.x; SD-WAN 8.7.0.0-2.3.0.x; SD-WAN 8.6.0.4-2.2.x.x.

Кроме того, компания сообщила о шести уязвимостях средней степени серьёзности, связанных с отказом в обслуживании (DoS). Все из них имеют оценку критичности от 5.3 до 5.9 по шкале CVSS и обладают следующими идентификаторами: CVE-2024-33513, CVE-2024-33514, CVE-2024-33515, CVE-2024-33516, CVE-2024-33517, CVE-2024-33518.

Для временного решения проблемы можно включить функции безопасности PAPI с использованием нестандартного ключа. Тем не менее, администраторам сетей настоятельно рекомендуется как можно скорее применить все доступные патчи для предотвращения любых потенциальных атак.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение