Üretici, Aruba Mobility Conductor (eski adıyla Mobility Master) yönetim çözümleri için ArubaOS işletim sisteminde, Aruba Mobility Controller’da ve Aruba Central tarafından yönetilen WLAN ve SD-WAN ağ geçitlerinde çok sayıda güvenlik açığı belirledi. Bunların çoğu kritik bir güvenlik riski oluşturur ve saldırganların, temeldeki işletim sistemi üzerinde ayrıcalıklı haklara sahip manipüle edilmiş paketler aracılığıyla enjekte edilen kodu yürütmesine olanak tanır.
Aruba: kritik güvenlik açıkları
ArubaOS’taki ilk kritik güvenlik açıkları, komut enjeksiyonuna farklı şekillerde izin verir: “Komut Enjeksiyonu” türündedirler. Aruba, hangi bileşenin güvenlik açığı içerdiği ve saldırganların bunu özel olarak nasıl kötüye kullanabilecekleri hakkında daha ayrıntılı bilgi sağlamaz. Ancak güvenlik açığı, Aruba’nın Erişim Noktası Yönetimi Protokolü’nü (PAPI) kullanarak UDP bağlantı noktası 8211’e özenle hazırlanmış ağ paketleri göndererek, temel işletim sisteminde (CVE-2023-22747, CVE- 2023 – 22748, CVE-2023-22749, CVE-2023-22750; CVSS 9.8risk”eleştirmen“).
Saldırganlar, PAPI protokolüyle manipüle edilmiş ağ paketleri göndererek yığın tabanlı arabellek taşmalarına da neden olabilir. Bu aynı zamanda yüksek derecede ayrıcalıklı kaçak kötü amaçlı kodun (CVE-2023-22751, CVE-2023-22752, CVSS) yürütülmesine olanak tanır. 9.8, eleştirmen). Bazıları hala yüksek risk oluşturan diğer güvenlik açıkları ve bunlarla ilgili ayrıntılar, Aruba’nın güvenlik danışmanlığında bulunabilir.
Üretici, ArubaOS 8.10.0.5, 8.11.0.0 ve 10.3.1.1 ve sonraki sürümlerin yanı sıra SD-WAN 8.7.0.0-2.3.0.9 ve sonraki sürümlerindeki güvenlik açıklarını düzeltir. Aruba ayrıca ArubaOS 8.6.0.20 sağlar, ancak bu, şu anda bulunan tüm güvenlik açıklarını kapatmaz. Önerilen geçici çözümleri uygulayan BT yetkilileri, yukarıdaki sürümlerde diğer güvenlik açıklarının giderileceğini not etmelidir.
geçici önlemler
Geçici bir çözüm olarak Aruba, diğer şeylerin yanı sıra, denetleyiciler ve ağ geçitleri gibi yönetim cihazlarının yalnızca sınırlı katman 2 segmentlerindeki (VLAN’lar) erişim noktalarıyla iletişim kurmasını önerir. Etkilenen cihazlar katman 3 sınırlarını aşarsa, güvenlik duvarı kuralları onlarla iletişimi yetkili cihazlarla sınırlandırmalıdır. Raporlama sırasında Aruba, güvenlik açıklarına yönelik herhangi bir saldırı belirtisi almamıştır.
Geçen Ekim ayının sonunda Aruba, ArubaOS’taki bazı kritik güvenlik açıklarını kapatmak zorunda kaldı. Yine saldırganlar, manipüle edilmiş isteklerle rastgele kod enjekte edebilir.
(dmk)
Haberin Sonu
Aruba: kritik güvenlik açıkları
ArubaOS’taki ilk kritik güvenlik açıkları, komut enjeksiyonuna farklı şekillerde izin verir: “Komut Enjeksiyonu” türündedirler. Aruba, hangi bileşenin güvenlik açığı içerdiği ve saldırganların bunu özel olarak nasıl kötüye kullanabilecekleri hakkında daha ayrıntılı bilgi sağlamaz. Ancak güvenlik açığı, Aruba’nın Erişim Noktası Yönetimi Protokolü’nü (PAPI) kullanarak UDP bağlantı noktası 8211’e özenle hazırlanmış ağ paketleri göndererek, temel işletim sisteminde (CVE-2023-22747, CVE- 2023 – 22748, CVE-2023-22749, CVE-2023-22750; CVSS 9.8risk”eleştirmen“).
Saldırganlar, PAPI protokolüyle manipüle edilmiş ağ paketleri göndererek yığın tabanlı arabellek taşmalarına da neden olabilir. Bu aynı zamanda yüksek derecede ayrıcalıklı kaçak kötü amaçlı kodun (CVE-2023-22751, CVE-2023-22752, CVSS) yürütülmesine olanak tanır. 9.8, eleştirmen). Bazıları hala yüksek risk oluşturan diğer güvenlik açıkları ve bunlarla ilgili ayrıntılar, Aruba’nın güvenlik danışmanlığında bulunabilir.
Üretici, ArubaOS 8.10.0.5, 8.11.0.0 ve 10.3.1.1 ve sonraki sürümlerin yanı sıra SD-WAN 8.7.0.0-2.3.0.9 ve sonraki sürümlerindeki güvenlik açıklarını düzeltir. Aruba ayrıca ArubaOS 8.6.0.20 sağlar, ancak bu, şu anda bulunan tüm güvenlik açıklarını kapatmaz. Önerilen geçici çözümleri uygulayan BT yetkilileri, yukarıdaki sürümlerde diğer güvenlik açıklarının giderileceğini not etmelidir.
geçici önlemler
Geçici bir çözüm olarak Aruba, diğer şeylerin yanı sıra, denetleyiciler ve ağ geçitleri gibi yönetim cihazlarının yalnızca sınırlı katman 2 segmentlerindeki (VLAN’lar) erişim noktalarıyla iletişim kurmasını önerir. Etkilenen cihazlar katman 3 sınırlarını aşarsa, güvenlik duvarı kuralları onlarla iletişimi yetkili cihazlarla sınırlandırmalıdır. Raporlama sırasında Aruba, güvenlik açıklarına yönelik herhangi bir saldırı belirtisi almamıştır.
Geçen Ekim ayının sonunda Aruba, ArubaOS’taki bazı kritik güvenlik açıklarını kapatmak zorunda kaldı. Yine saldırganlar, manipüle edilmiş isteklerle rastgele kod enjekte edebilir.
(dmk)
Haberin Sonu