HPE Aruba Ağı Sistemlerinde bulunan ve kimliği doğrulanmamış saldırganların güvenliği ihlal edilmiş cihazlarda uzaktan kod yürütmesine olanak verebilecek üç kritik güvenlik açığı düzeltildi.
CVE-2024-42505, CVE-2024-42506 ve CVE-2024-42507 olarak takip edilen güvenlik açıkları, Aruba erişim noktalarının (AP’ler) komut satırı arayüzü (CLI) hizmetinde yer alır ve Aruba’nın erişim noktalarına paket gönderilerek kullanılabilir. Ayrıcalıklı erişim elde etmek ve isteğe bağlı kod yürütmek için AP yönetim protokolü UDP bağlantı noktası.
Güvenlik hataları Hewlett Packard Enterprise yan kuruluşuna göre, Instant AOS-8 ve AOS-10 çalıştıran Aruba AP’leri etkiliyor.
Etkilenen yazılımlar arasında AOS-10.6.xx: 10.6.0.2 ve altı, AOS-10.4.xx: 10.4.1.3 ve altı, Instant AOS-8.12.xx: 8.12.0.1 ve altı ve Instant AOS-8.10.xx: 8.10 bulunmaktadır. .0.13 ve altı.
Anında AOS-8.x kodunu ve AOS-10’u çalıştıran cihazlar için geçici çözümler mevcut olsa da, kötü niyetli aktörlerin saldırılarını önlemek için yöneticilerin HPE’nin ağ destek portalında sağladığı en son güncellemeleri yüklemeleri önerilir.
Ağ Mobilite İletkenleri, Mobilite Denetleyicileri ve SD-WAN Ağ Geçitleri gibi diğer Aruba ürünleri etkilenmedi.
HPE Güvenlik Yanıt Ekibi’ne göre, açıklardan yararlanıldığına dair herhangi bir rapor bulunmuyor ve şu anda kamuya açık yararlanma kodları mevcut değil.