Η HPE Aruba Networking εξέδωσε συμβουλευτική ασφαλείας για τον Απρίλιο του 2024, όπου περιγράφει λεπτομερώς τα κρίσιμα ελαττώματα RCE, που επηρεάζουν πολλές εκδόσεις του ArubaOS, του ιδιόκτητου λειτουργικού συστήματος δικτύου της.
Δείτε επίσης: ConnectWise: Ενημέρωση του ScreenConnect λόγω κρίσιμου RCE
Η συμβουλευτική παραθέτει δέκα ευπάθειες, τέσσερις από τις οποίες είναι κρίσιμης σοβαρότητας (CVSS v3.1: 9.8) προβλήματα υπερχείλισης buffer χωρίς έλεγχο ταυτότητας, που μπορεί να οδηγήσουν σε απομακρυσμένη εκτέλεση κώδικα (RCE).
Τα προϊόντα που επηρεάζονται από τα ελαττώματα RCE στο ArubaOS είναι:
- HPE Aruba Networking Mobility Conductor, Mobility Controllers, WLAN Gateways και SD-WAN Gateways που διαχειρίζεται η Aruba Central.
- ArubaOS 10.5.1.0 και νεότερη έκδοση, 10.4.1.0 και νεότερη έκδοση, 8.11.2.1 και νεότερη έκδοση και 8.10.0.10 και νεότερη έκδοση.
- Όλες οι εκδόσεις του ArubaOS και του SD-WAN που έχουν φτάσει στο EoL. Αυτό περιλαμβάνει το ArubaOS πριν από 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4 και SD-WAN 2.3.0 έως 8.7.0.0 και 2.2 έως 8.6.0.4.
Τα τέσσερα κρίσιμα ελαττώματα RCE είναι:
- CVE-2024-26305 – Ελάττωμα στο ArubaOS’s Utility daemon, που επιτρέπει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να εκτελεί αυθαίρετο κώδικα εξ αποστάσεως, στέλνοντας ειδικά δημιουργημένα πακέτα στη θύρα UDP PAPI (το πρωτόκολλο διαχείρισης σημείου πρόσβασης της Αρούμπα).
- CVE-2024-26304 – Ελάττωμα στην υπηρεσία διαχείρισης L2/L3, που επιτρέπει την εκτέλεση απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας μέσω δημιουργημένων πακέτων που αποστέλλονται στη θύρα PAPI UDP.
- CVE-2024-33511 – Ευπάθεια στην υπηρεσία Αυτόματης Αναφοράς που μπορεί να αξιοποιηθεί με την αποστολή ειδικά δημιουργημένων πακέτων στη θύρα πρωτοκόλλου PAPI για να επιτραπεί στους εισβολείς χωρίς έλεγχο ταυτότητας να εκτελούν αυθαίρετο κώδικα εξ αποστάσεως.
- CVE-2024-33512 – Ελάττωμα που επιτρέπει σε μη επαληθευμένους απομακρυσμένους εισβολείς να εκτελούν κώδικα εκμεταλλευόμενοι μια υπερχείλιση buffer στην υπηρεσία βάσης δεδομένων τοπικού ελέγχου ταυτότητας χρήστη, στην οποία έχει πρόσβαση μέσω του πρωτοκόλλου PAPI.
Δείτε ακόμα: Κρίσιμο σφάλμα RCE σε συσκευές D-Link NAS εκμεταλλεύεται σε επιθέσεις
Για να μετριαστούν τα ελαττώματα RCE, ο προμηθευτής συνιστά την ενεργοποίηση της Ενισχυμένης ασφάλειας PAPI και την αναβάθμιση σε ενημερωμένες εκδόσεις του ArubaOS.
Οι πιο πρόσφατες εκδόσεις αντιμετωπίζουν επίσης άλλα έξι τρωτά σημεία, όλα χαρακτηρισμένα ως “μέτρια” σε σοβαρότητα (CVSS v3.1: 5.3 – 5.9), τα οποία θα μπορούσαν να επιτρέψουν σε μη επιβεβαιωμένους εισβολείς να δημιουργήσουν άρνηση υπηρεσίας σε ευάλωτες συσκευές και να προκαλέσουν δαπανηρές λειτουργικές διακοπές.
Οι στοχευόμενες εκδόσεις αναβάθμισης που αντιμετωπίζουν και τα δέκα ελαττώματα είναι:
- ArubaOS 10.6.0.0 και νεότερη έκδοση
- ArubaOS 10.5.1.1 και νεότερη έκδοση
- ArubaOS 10.4.1.1 και νεότερη έκδοση
- ArubaOS 8.11.2.2 και νεότερη έκδοση
- ArubaOS 8.10.0.11 και νεότερη έκδοση
Προς το παρόν, η HPE Aruba Networking δεν γνωρίζει περιπτώσεις ενεργητικής εκμετάλλευσης ή ύπαρξη PoC για τα αναφερόμενα τρωτά σημεία. Ωστόσο, συνιστάται στους διαχειριστές συστήματος να εφαρμόζουν τις διαθέσιμες ενημερώσεις ασφαλείας το συντομότερο δυνατό.
Δείτε επίσης: Η Google πληρώνει έως και 450.000 $ για σφάλματα RCE
Ποιες είναι οι βασικές μέθοδοι προστασίας από ελαττώματα RCE;
Μία από τις βασικές μεθόδους προστασίας από ελαττώματα RCE, όπως αυτά που εντοπίστηκαν στο ArubaOS, είναι η ενημέρωση του λογισμικού σας. Η χρήση ενός συστήματος διαχείρισης δικαιωμάτων πρόσβασης μπορεί επίσης να βοηθήσει στον περιορισμό της πρόσβασης σε συγκεκριμένες λειτουργίες, μειώνοντας έτσι την ευκαιρία για απομακρυσμένη εκτέλεση κώδικα. Η εφαρμογή της αρχής του ελάχιστου προνομίου μπορεί να προσφέρει επιπλέον προστασία, αφού αυτό σημαίνει ότι οι χρήστες και οι διαδικασίες έχουν μόνο τα απαραίτητα δικαιώματα και δυνατότητες που χρειάζονται για να εκτελέσουν τις απαραίτητες λειτουργίες τους. Τέλος, η κατανόηση και η εφαρμογή των βέλτιστων πρακτικών προγραμματισμού μπορεί να μειώσει την πιθανότητα εισαγωγής ευπαθειών απομακρυσμένης εκτέλεσης κώδικα στο λογισμικό σας.
Πηγή: bleepingcomputer
