HPE Aruba Networking EdgeConnect SD-WAN ağ geçitlerine yapılan başarılı saldırıların ardından saldırganlar, diğer şeylerin yanı sıra ağlara girebilir ve kendi komutlarını çalıştırabilir. Öte yandan güvenlik güncellemeleri de yayınlandı. Geliştiriciler toplam on güvenlik açığını düzeltti. Boşluklardan başka hiçbir ürün etkilenmemelidir.
Duyuru
Tehlikeler
Yöneticiler yazılımı geniş alan ağını (WAN) yönetmek için kullanır. İki uyarının (1, 2) gösterdiği gibi, güvenlik açıklarının çoğu tehdit düzeyindedir”yüksek“. Burada saldırganlar, kalıcı bir XSS saldırısı için web yönetimi arayüzündeki bir güvenlik açığını (CVE-2024-41914) hedefleyebilir. Kötü amaçlı kod daha sonra kurbanın tarayıcısında yürütülür.
Başka bir güvenlik açığı (CVE-2024-41133) komut satırı arayüzünü etkiliyor. Kimliği doğrulanmış uzak saldırganların kök ayrıcalıklarıyla komutları yürütmeye başlayabileceği yer burasıdır. Geliştiricilere göre bu, sistemlerin tamamen tehlikeye girmesine yol açıyor. Saldırganlar ayrıca erişim kısıtlamalarını atlayabilir ve gerçekte engellenen bilgilere erişebilir.
Güncellemeler mevcut
Geliştiriciler sürümlerdeki boşluklara dikkat çekiyor ECOS 9.3.x: ECOS 9.3.4.0, ECOS 9.4.x: ECOS 9.4.2.0 ve ECOS 9.5.x: ECOS 9.5.0.0 kapattık. Aşağıdaki sürüm serileri hâlâ desteklenmektedir ve güvenlik yamaları almaktadır:
(İtibaren)
Duyuru
Tehlikeler
Yöneticiler yazılımı geniş alan ağını (WAN) yönetmek için kullanır. İki uyarının (1, 2) gösterdiği gibi, güvenlik açıklarının çoğu tehdit düzeyindedir”yüksek“. Burada saldırganlar, kalıcı bir XSS saldırısı için web yönetimi arayüzündeki bir güvenlik açığını (CVE-2024-41914) hedefleyebilir. Kötü amaçlı kod daha sonra kurbanın tarayıcısında yürütülür.
Başka bir güvenlik açığı (CVE-2024-41133) komut satırı arayüzünü etkiliyor. Kimliği doğrulanmış uzak saldırganların kök ayrıcalıklarıyla komutları yürütmeye başlayabileceği yer burasıdır. Geliştiricilere göre bu, sistemlerin tamamen tehlikeye girmesine yol açıyor. Saldırganlar ayrıca erişim kısıtlamalarını atlayabilir ve gerçekte engellenen bilgilere erişebilir.
Güncellemeler mevcut
Geliştiriciler sürümlerdeki boşluklara dikkat çekiyor ECOS 9.3.x: ECOS 9.3.4.0, ECOS 9.4.x: ECOS 9.4.2.0 ve ECOS 9.5.x: ECOS 9.5.0.0 kapattık. Aşağıdaki sürüm serileri hâlâ desteklenmektedir ve güvenlik yamaları almaktadır:
- HPE Aruba Ağ İletişimi EdgeConnect SD-WAN 9.2.xx
- HPE Aruba Ağ İletişimi EdgeConnect SD-WAN 9.3.xx
- HPE Aruba Ağ İletişimi EdgeConnect SD-WAN 9.4.xx
- HPE Aruba Ağ İletişimi EdgeConnect SD-WAN 9.5.xx
(İtibaren)