Skip to main content

HPE Aruba Networking-ek software eguneraketak kaleratu ditu ain bat segurtasun kalteberatasun konpontzeko, eta horien artean kritikoak diren hauek daude: CVE-2024-42509, CVE-2024-47460 eta altuak: CVE-2024-47461, CVE-2024-47462, CVE-2024-47463, CVE-2024-47464.

Kaltetutako baliabideak

  • Instant AOS-8 eta AOS-10 exekutatzen dituzten Sarbide Puntuek

Azterketa teknikoa

  • CVE-2024-42509: Azpiko CLI zerbitzuan komando-injekzioaren zaurgarritasunak baimenik gabeko urruneko kodearen exekuzioa eragin lezake UDP portura (8211) bideratutako pakete bereziak bidaliz PAPI protokoloa erabiliz (Arubaren Sarbide Puntuen kudeaketa protokoloa). Zaurgarritasun hau arrakastaz ustiatzeak erabiltzaile pribilegiatu gisa kode arbitrarioa exekutatzeko gaitasuna ematen du azpiko sistema eragilean.
  • CWE: -
  • CVSS: 9.8 - kritikoa
  • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Erakunde Bektorea: Sare
    • Konplexutasuna: Baxua
    • Beharrezko Pribilegioak: Ez
    • Erabiltzailearen Elkarrekintza: Ez
    • Esparrua: Aldaketarik gabe
    • Konfidentzialtasuna: Handia
    • Osotasuna: Handia
    • Eskaintzak: Handia
  • Ustiapena: Ez detektatua

     

  • CVE-2024-47460: Azpiko CLI zerbitzuan komando-injekzioaren zaurgarritasunak baimenik gabeko urruneko kodearen exekuzioa eragin lezake UDP portura (8211) bideratutako pakete bereziak bidaliz PAPI protokoloa erabiliz (Arubaren Sarbide Puntuen kudeaketa protokoloa). Zaurgarritasun hau arrakastaz ustiatzeak erabiltzaile pribilegiatu gisa kode arbitrarioa exekutatzeko gaitasuna ematen du azpiko sistema eragilean.
  • CWE: -
  • CVSS: 9.0 - kritikoa
  • CVSS Bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Erakunde Bektorea: Sare
    • Konplexutasuna: Handia
    • Beharrezko Pribilegioak: Ez
    • Erabiltzailearen Elkarrekintza: Ez
    • Esparrua: Aldaketekin
    • Konfidentzialtasuna: Handia
    • Osotasuna: Handia
    • Eskaintzak: Handia
  • Ustiapena: Ez detektatua

Arintzea / Soluzioa

Zaurgarritasunak konpontzen dituzten software bertsioetara eguneratu behar dira sarbide puntuak: AOS-10.7.x.x: 10.7.0.0 eta gorakoak AOS-10.4.x.x: 10.4.1.5 eta gorakoak Instant AOS-8.12.x.x: 8.12.0.3 eta gorakoak Instant AOS-8.10.x.x: 8.10.0.14 eta gorakoak.

Berehala eguneratzerik ez dutenentzat, hainbat arintze-neurri gomendatzen dira zaurgarritasun bakoitzerako: CVE-2024-42509 eta CVE-2024-47460 zaurgarritasunei dagokienez: Cluster segurtasuna aktibatu Instant AOS-8 duten gailuetan cluster-security komandoarekin. UDP 8211 portura (PAPI protokoloa) sarrerak blokeatu behar dira sare fidagarrietatik kanpo AOS-10 duten gailuetan, bertsio honetan ezin baita cluster segurtasuna aktibatu. CVE-2024-47461, CVE-2024-47462, CVE-2024-47463 eta CVE-2024-47464 zaurgarritasunei dagokienez: CLI eta web bidezko administrazio interfazeetarako sarbidea mugatu behar da 2. geruza segmentu dedikatu edo VLAN batera. 3. geruzako eta goragoko firewall politikak aplikatu behar dira administrazio interfazeetara sartzeko.

Erreferentzia osagarriak