HPE поправя критични уязвимости в точките за достъп Aruba

Тази седмица HPE обяви кръпки за множество уязвимости в своите точки за достъп Aruba Networking, включително две грешки с критична тежест при инжектиране на команди.

Критичните дефекти в сигурността, проследени като CVE-2024-42509 (CVSS оценка 9,8) и CVE-2024-47460 (CVSS оценка 9,0), засягат основната CLI услуга на протокола за управление на точките за достъп на Aruba.

Отдалечен, неаутентифициран нападател може да се възползва от недостатъците, като изпрати изработени пакети към UDP порта на протокола (8211), което може да доведе до изпълнение на произволен код като привилегирован потребител на основната операционна система.

Според HPE проблемите засягат точките за достъп, работещи с версиите на софтуера Instant AOS-8 и AOS-10, включително итерациите на Instant AOS-6.x и Instant AOS-8.x и версиите на AOS- 10.x, които са достигнали статус на изчерпан ресурс (EoL).

„Включването на сигурността на клъстера чрез командата cluster-security ще предотврати използването на тази уязвимост в устройствата, работещи с кода Instant AOS-8. За устройствата AOS-10 това не е опция и вместо това достъпът до порт UDP/8211 трябва да бъде блокиран от всички ненадеждни мрежи“, отбелязва HPE в своята консултация.

Тази седмица компанията предупреди и за три уязвимости с висока степен на опасност за отдалечено изпълнение на код (RCE), засягащи интерфейса на командния ред на Instant AOS-8 и AOS-10, проследени като CVE-2024-47461, CVE-2024-47462 и CVE-2024-47463.

CVE-2024-47461 може да позволи на автентикиран нападател да изпълнява произволни команди като привилегирован потребител и да компрометира напълно операционната система на хоста.

CVE-2024-47462 и CVE-2024-47463 „биха могли да позволят на автентифициран отдалечен нападател да създаде произволни файлове, което може да доведе до отдалечено изпълнение на команди (RCE) в основната операционна система“, обяснява HPE.

Ограничаването на CLI и уеб базираните интерфейси за управление до специален сегмент на слой 2/VLAN и/или контролирането им чрез политики за защитна стена би трябвало да намали вероятността тези уязвимости да бъдат използвани, казва HPE.

Instant AOS-8 и AOS-10, предупреждават от HPE, също са засегнати от грешка с висока степен на опасност при автентично обхождане на пътища, която може да позволи на нападателя да копира произволни файлове и да прочете съдържанието им.

Пачове за всичките шест уязвимости са включени в AOS-10.7.0.0 и AOS-10.4.1.5 и в Instant AOS-8.12.0.3 и Instant AOS-8.10.0.14.

HPE твърди, че всички грешки са докладвани чрез програмата за награди за грешки на Aruba Networking и не споменава, че някоя от тях е използвана в дивата природа.

#бъгове, # мрежова сигурност

По материали от Интернет

Подобни

Microsoft потвърди проблем с майското обновление за Windows 11

19.05.2026

Шестгодишна уязвимост в Windows отново работи върху напълно обновени системи

19.05.2026

Pwn2Own Berlin 2026 раздаде близо 1,3 милиона долара за zero-day уязвимости

19.05.2026

Изследовател обвинява Microsoft в „тихо“ поправяне на Azure уязвимост без CVE

18.05.2026

Критични уязвимости в Avada Builder

18.05.2026

Cisco предупреди за активно експлоатирана критична уязвимост в Catalyst SD-WAN

17.05.2026

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"