HPE 修补了 Aruba PAPI 中的三个关键安全漏洞

运行AOS-8和AOS-10的Aruba接入点需要紧急打补丁,因为HPE为其网络子公司接入点中的三个关键漏洞发布了修复程序。

这些问题将允许未经身份验证的攻击者通过向UDP端口8211发送精心构造的数据包来在Aruba系统上执行代码。该端口是操作系统专有的访问协议接口(PAPI),这将为恶意人员提供对设备的特权访问。

这三个漏洞——CVE-2024-42505、CVE-2024-42506 和 CVE-2024-42507——在CVSS严重性评分中均被评为9.8(满分10分)。

这些漏洞影响AOS 10.6.x.x版本(包括10.6.0.2及之前版本)以及Instant AOS 8.12.x.x版本(8.12.0.1及更早版本)。HPE还警告说,已经停止支持的代码,包括AOS 10.5和10.3,以及Instant AOS-8.11及其之前的版本也受到影响,并建议升级这些系统以获得保护。

“通过启用cluster-security命令可以防止运行Instant AOS-8.x代码的设备被利用这些漏洞。”HPE在其安全警报中建议。“对于AOS-10设备来说,这不是一个选项,而应该从所有不受信任的网络中阻止对UDP端口8211的访问。”这不是PAPI今年首次被发现存在严重问题。早在五月份,Aruba就在公开的概念验证利用代码发布后修复了系统中的四个关键漏洞,并在不到一周后又发布了更多补丁。

这些补丁对于美国军方内的系统管理员尤为关切。早在2020年,Aruba就因成为五角大楼的首选供应商而取得重大胜利,当时军方与思科关系破裂并开始更换其设备。

HPE感谢Erik de Jong发现了这些漏洞,他是一名兼职漏洞研究员,日常工作是荷兰电信公司DELTA Fiber的安全官员。这些漏洞是通过Bugcrowd提交的,他表示自己的业余爱好帮助他还清了一部分房贷。

在发布时,HPE表示尚未发现有任何迹象表明这些问题已在野外被利用。然而,随着补丁的发布,鉴于问题的严重性,这种情况可能会发生变化。®

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐