Hewlett Packard Enterprise (HPE), Aruba Networking Access Point’lerinde tespit edilen iki kritik güvenlik açığını gidermek için Instant AOS-8 ve AOS-10 yazılımlarına güncellemeler yayınladı. Bu güvenlik açıkları, uzaktan saldırganın özel olarak hazırlanmış UDP port 8211 üzerinden komut enjeksiyonu yapmasına olanak tanıyor.
Güvenlik Açıkları ve Etki Düzeyleri
- CVE-2024-42509 ve CVE-2024-47460: CLI servisinde bulunan ve PAPI protokolü üzerinden erişilebilen bu iki açık, 9.8 ve 9.0 seviyelerinde yüksek bir etki puanına sahip olup kritik seviyede uzak komut enjeksiyonuna yol açabiliyor.
- Diğer dört güvenlik açığı ise daha düşük ama yine de ciddi riskler taşımakta:
- CVE-2024-47461 (7.2 puan): Kimlik doğrulaması yapılmış saldırganların işletim sistemi üzerinde yetkisiz komutlar çalıştırmasına olanak tanıyor.
- CVE-2024-47462 ve CVE-2024-47463 (7.2 puan): Yetkili bir saldırganın rastgele dosyalar oluşturmasına ve bu yolla komut çalıştırmasına yol açabiliyor.
- CVE-2024-47464 (6.8 puan): Yetkili saldırganların dosya yollarını manipüle ederek izinsiz dosya erişimi sağlamasına neden olabiliyor.
- CVE-2024-47461 (7.2 puan): Kimlik doğrulaması yapılmış saldırganların işletim sistemi üzerinde yetkisiz komutlar çalıştırmasına olanak tanıyor.
Bu zafiyetler, AOS-10.4.x.x (10.4.1.4 ve daha eski sürümler), Instant AOS-8.12.x.x (8.12.0.2 ve alt sürümler) ve Instant AOS-8.10.x.x (8.10.0.13 ve daha eski sürümler) dahil olmak üzere çeşitli yazılım sürümlerini etkilemekte.
Güncelleme ve Geçici Çözümler
HPE, güvenlik güncellemelerinin uygulanmasını tavsiye etmektedir:
- AOS-10.7.x.x: 10.7.0.0 ve üst sürümlere güncellenmeli.
- AOS-10.4.x.x: 10.4.1.5 veya üstü sürümlere güncellenmeli.
- Instant AOS-8.12.x.x: 8.12.0.3 veya daha üst sürüme güncellenmeli.
- Instant AOS-8.10.x.x: 8.10.0.14 veya daha üst sürüme güncellenmeli.
Bu güncellemeleri yapamayanlar için ise geçici çözüm önerileri sunulmuştur:
- Kritik iki güvenlik açığını engellemek için, UDP port 8211’i izole edin.
- Diğer açıklar için, CLI ve web tabanlı yönetim arayüzlerinin erişimlerini kısıtlayarak bunları özel bir Layer 2 segmenti veya VLAN üzerinde izole edin ve Layer 3 ve üzeri seviyelerde güvenlik duvarı politikaları ile erişim kontrolleri sağlayın.