Bir güvenlik raporunda, HPE yan kuruluşu Aruba, şirketin erişim noktalarında bazıları kritik olan birkaç güvenlik açığı konusunda uyarıda bulunuyor. Sızıntıları giderecek güncellenmiş üretici yazılımı paketleri mevcuttur. Ağdaki saldırganlar cihazlara kötü amaçlı kod sokabileceğinden ve bunları oturum açmadan çalıştırabileceğinden, BT yöneticileri bunları hızlı bir şekilde kurmalıdır.
Üretici, bir güvenlik bildiriminde 13 açığı ve etkilenen yazılım sürümlerini açıklıyor. Bu nedenle üretici, InstantOS ve ArubaOS 10 ile erişim noktaları için yamalar sağlar.
Aruba: erişim noktalarında kritik boşluklar
Bazı temel hizmetler, enjekte edilen kodun yetkisiz yürütülmesine yol açabilecek arabellek taşmalarına dayalı güvenlik açıkları içerir. Saldırganların özel hazırlanmış paketleri Aruba’nın Erişim Noktası Yönetim Protokolü (PAPI) UDP bağlantı noktası 8211’e göndermesi gerekir. Bu güvenlik açıklarından başarıyla yararlanılması, temel işletim sisteminde yükseltilmiş ayrıcalıklarla rasgele kodun yürütülmesine izin verebilir. Yalnızca sekiz CVE girişi bu boşluklarla ilgilidir ve CVSS değerine ulaşır. 9.8bu da onlara risk değerlendirmesini verir “eleştirmen” ulaşmak.
PAPI protokolünde (CVE-2023-22787, CVSS) bir hizmet reddi güvenlik açığı da bulunabilir. 7.5, yüksek). Ayrıca, oturum açmış bir saldırganın, yükseltilmiş ayrıcalıklarla çalışan temel işletim sistemine komutlar iletmesine izin veren çeşitli güvenlik açıkları da vardır (VE-2023-22788, CVE-2023-22789, CVE-2023-22790; tümü CVSS 7.2, yüksek). Potansiyel bilgi sızıntısı, geçerli WiFi kimlik bilgilerine sahip kötü kişiler tarafından kullanılabilir (CVE-2023-22791, CVSS 5.4, yarım).
Güncellenmiş yazılım
ArubaOS 10.3.1.0, InstantOS 8.10.0.4, 8.6.0.19, 6.5.4.23 ve 6.4.4.8-4.2.4.20 ve öncesi gibi yazılım sürümleri bu güvenlik açıklarından etkilenir. Aruba, ömürlerinin sonuna geldikleri için savunmasız olan InstantOS 8.9.x, 8.8.x, 8.7.x, 8.5.x ve 8.4.x sürümleri için güncellemeler yayınlamaz. ArubaOS 10.4.0.0 ve 10.3.1.1’in yanı sıra InstantOS 8.11.0.0, 8.10.0.3, 8.6.0.20, 6.5.4.24 ve 6.4.4.8-4.2.4.21 ve daha yeni sürümlere yapılan güncellemelerle geliştiriciler güvenlik açıklarını düzeltir. Yöneticiler bunları aşina oldukları kanallardan alabilirler.
Şirket, Aruba Mobility Conductor, Aruba Mobility Controller, Mobility Controller tarafından yönetilen Erişim Noktaları ve Aruba SD-WAN Gateway’in bu güvenlik açıklarından etkilenmediğini belirtiyor. Aruba Instant On da savunmasız değildir.
Mart ayında Aruba, anahtarlarda yüksek riskli bir güvenlik açığı bildirdi. Sonuç olarak, saldırganlar onları tehlikeye atmış olabilir.
(dmk)
Haberin Sonu
Üretici, bir güvenlik bildiriminde 13 açığı ve etkilenen yazılım sürümlerini açıklıyor. Bu nedenle üretici, InstantOS ve ArubaOS 10 ile erişim noktaları için yamalar sağlar.
Aruba: erişim noktalarında kritik boşluklar
Bazı temel hizmetler, enjekte edilen kodun yetkisiz yürütülmesine yol açabilecek arabellek taşmalarına dayalı güvenlik açıkları içerir. Saldırganların özel hazırlanmış paketleri Aruba’nın Erişim Noktası Yönetim Protokolü (PAPI) UDP bağlantı noktası 8211’e göndermesi gerekir. Bu güvenlik açıklarından başarıyla yararlanılması, temel işletim sisteminde yükseltilmiş ayrıcalıklarla rasgele kodun yürütülmesine izin verebilir. Yalnızca sekiz CVE girişi bu boşluklarla ilgilidir ve CVSS değerine ulaşır. 9.8bu da onlara risk değerlendirmesini verir “eleştirmen” ulaşmak.
PAPI protokolünde (CVE-2023-22787, CVSS) bir hizmet reddi güvenlik açığı da bulunabilir. 7.5, yüksek). Ayrıca, oturum açmış bir saldırganın, yükseltilmiş ayrıcalıklarla çalışan temel işletim sistemine komutlar iletmesine izin veren çeşitli güvenlik açıkları da vardır (VE-2023-22788, CVE-2023-22789, CVE-2023-22790; tümü CVSS 7.2, yüksek). Potansiyel bilgi sızıntısı, geçerli WiFi kimlik bilgilerine sahip kötü kişiler tarafından kullanılabilir (CVE-2023-22791, CVSS 5.4, yarım).
Güncellenmiş yazılım
ArubaOS 10.3.1.0, InstantOS 8.10.0.4, 8.6.0.19, 6.5.4.23 ve 6.4.4.8-4.2.4.20 ve öncesi gibi yazılım sürümleri bu güvenlik açıklarından etkilenir. Aruba, ömürlerinin sonuna geldikleri için savunmasız olan InstantOS 8.9.x, 8.8.x, 8.7.x, 8.5.x ve 8.4.x sürümleri için güncellemeler yayınlamaz. ArubaOS 10.4.0.0 ve 10.3.1.1’in yanı sıra InstantOS 8.11.0.0, 8.10.0.3, 8.6.0.20, 6.5.4.24 ve 6.4.4.8-4.2.4.21 ve daha yeni sürümlere yapılan güncellemelerle geliştiriciler güvenlik açıklarını düzeltir. Yöneticiler bunları aşina oldukları kanallardan alabilirler.
Şirket, Aruba Mobility Conductor, Aruba Mobility Controller, Mobility Controller tarafından yönetilen Erişim Noktaları ve Aruba SD-WAN Gateway’in bu güvenlik açıklarından etkilenmediğini belirtiyor. Aruba Instant On da savunmasız değildir.
Mart ayında Aruba, anahtarlarda yüksek riskli bir güvenlik açığı bildirdi. Sonuç olarak, saldırganlar onları tehlikeye atmış olabilir.
(dmk)
Haberin Sonu