9月24日HPE Aruba Networking發布資安公告,該公司旗下的Wi-Fi基地臺存在重大漏洞CVE-2024-42505、CVE-2024-42506、CVE-2024-42507,影響執行Instant AOS-8與AOS 10作業系統的網路設備,這些漏洞出現在Aruba的存取點管理通訊協定(Aruba's
Access Point management protocol,PAPI),為命令注入漏洞,攻擊者可用來遠端執行任意命令,CVSS風險評分達到9.8。

這些命令注入漏洞存在於命令列介面(CLI)服務,攻擊者可在未通過身分驗證的情況下,傳送特製封包到採用PAPI協定的UDP埠(8211埠),從而觸發上述弱點,一旦成功,攻擊者就能以特殊權限的使用者身分,於作業系統底層執行任意程式碼。

針對漏洞影響的範圍,該公司表示,執行AOS-10.6.0.2、10.4.1.3,以及Instant AOS-8.12.0.1、8.10.0.13以下版本的無線基地臺設備,就有可能受到影響,Mobility Conductor、Mobility Controller、SD-WAN閘道不受影響。他們呼籲用戶將路由器的作業系統更新至AOS-10.7.0.0、10.6.0.3、10.6.0.3,以及Instant AOS-8.12.0.2、8.10.0.14以上的版本來因應。

針對無法及時套用新版作業系統的設備,IT人員還是能夠減輕這些漏洞帶來的危險。對於執行AOS-8.x的裝置,IT人員可下達命令啟用cluster-security功能因應,而對於執行AOS-10的裝置,則是要考慮封鎖UDP的8211埠來因應。

熱門新聞

Advertisement