Тази седмица HPE обяви кръпки за множество уязвимости в своите точки за достъп Aruba Networking, включително две грешки с критична тежест при инжектиране на команди.
Критичните дефекти в сигурността, проследени като CVE-2024-42509 (CVSS оценка 9,8) и CVE-2024-47460 (CVSS оценка 9,0), засягат основната CLI услуга на протокола за управление на точките за достъп на Aruba.
Отдалечен, неаутентифициран нападател може да се възползва от недостатъците, като изпрати изработени пакети към UDP порта на протокола (8211), което може да доведе до изпълнение на произволен код като привилегирован потребител на основната операционна система.
Според HPE проблемите засягат точките за достъп, работещи с версиите на софтуера Instant AOS-8 и AOS-10, включително итерациите на Instant AOS-6.x и Instant AOS-8.x и версиите на AOS- 10.x, които са достигнали статус на изчерпан ресурс (EoL).
„Включването на сигурността на клъстера чрез командата cluster-security ще предотврати използването на тази уязвимост в устройствата, работещи с кода Instant AOS-8. За устройствата AOS-10 това не е опция и вместо това достъпът до порт UDP/8211 трябва да бъде блокиран от всички ненадеждни мрежи“, отбелязва HPE в своята консултация.
Тази седмица компанията предупреди и за три уязвимости с висока степен на опасност за отдалечено изпълнение на код (RCE), засягащи интерфейса на командния ред на Instant AOS-8 и AOS-10, проследени като CVE-2024-47461, CVE-2024-47462 и CVE-2024-47463.
CVE-2024-47461 може да позволи на автентикиран нападател да изпълнява произволни команди като привилегирован потребител и да компрометира напълно операционната система на хоста.
CVE-2024-47462 и CVE-2024-47463 „биха могли да позволят на автентифициран отдалечен нападател да създаде произволни файлове, което може да доведе до отдалечено изпълнение на команди (RCE) в основната операционна система“, обяснява HPE.
Ограничаването на CLI и уеб базираните интерфейси за управление до специален сегмент на слой 2/VLAN и/или контролирането им чрез политики за защитна стена би трябвало да намали вероятността тези уязвимости да бъдат използвани, казва HPE.
Instant AOS-8 и AOS-10, предупреждават от HPE, също са засегнати от грешка с висока степен на опасност при автентично обхождане на пътища, която може да позволи на нападателя да копира произволни файлове и да прочете съдържанието им.
Пачове за всичките шест уязвимости са включени в AOS-10.7.0.0 и AOS-10.4.1.5 и в Instant AOS-8.12.0.3 и Instant AOS-8.10.0.14.
HPE твърди, че всички грешки са докладвани чрез програмата за награди за грешки на Aruba Networking и не споменава, че някоя от тях е използвана в дивата природа.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.