4月30日HPE Aruba Networking發布4月份資安公告,指出其網路設備作業系統ArubaOS存在10個漏洞,影響Mobility Conductor(原Mobility Master)、Mobility Controller,以及由Aruba Central雲端控管的WLAN閘道、SD-WAN閘道等設備,且皆與透過PAPI通訊協定存取有關,攻擊者無須通過身分驗證就有機會觸發。

其中,有4個漏洞:CVE-2024-26304、CVE-2024-26305、CVE-2024-33511、CVE-2024-33512被列為重大等級,皆為未經身分驗證的記憶體緩衝區溢位漏洞,CVSS風險評分都達到了9.8分。一旦遭到利用,攻擊者就有機會以特權使用者的身分,於作業系統底層執行任意程式碼。

而這些漏洞涉及的元件,則有所不同。CVE-2024-26304與L2及L3的管理服務有關,而CVE-2024-26305則是出現在Utility系統服務,至於CVE-2024-33511為自動報告服務的弱點,而CVE-2024-33512,則在本機使用者身分驗證資料庫發現。

對此,HPE Aruba Networking發布8.10.0.11、8.11.2.2、10.4.1.1、10.5.1.1、10.6.0.0版ArubaOS予以修補,並指出已終止維護的6.5.4至10.3版ArubaOS,以及8.6.0.4-2.2.x.x至8.7.0.0-2.3.0.x版的SD-WAN網路設備作業系統,也存在上述漏洞。

熱門新聞

Advertisement