HPE Aruba修補無線基地臺重大層級的命令注入漏洞

9月24日HPE Aruba Networking發布資安公告，該公司旗下的Wi-Fi基地臺存在重大漏洞CVE-2024-42505、CVE-2024-42506、CVE-2024-42507，影響執行Instant AOS-8與AOS 10作業系統的網路設備，這些漏洞出現在Aruba的存取點管理通訊協定（Aruba's
Access Point management protocol，PAPI），為命令注入漏洞，攻擊者可用來遠端執行任意命令，CVSS風險評分達到9.8。

這些命令注入漏洞存在於命令列介面（CLI）服務，攻擊者可在未通過身分驗證的情況下，傳送特製封包到採用PAPI協定的UDP埠（8211埠），從而觸發上述弱點，一旦成功，攻擊者就能以特殊權限的使用者身分，於作業系統底層執行任意程式碼。

針對漏洞影響的範圍，該公司表示，執行AOS-10.6.0.2、10.4.1.3，以及Instant AOS-8.12.0.1、8.10.0.13以下版本的無線基地臺設備，就有可能受到影響，Mobility Conductor、Mobility Controller、SD-WAN閘道不受影響。他們呼籲用戶將路由器的作業系統更新至AOS-10.7.0.0、10.6.0.3、10.6.0.3，以及Instant AOS-8.12.0.2、8.10.0.14以上的版本來因應。

針對無法及時套用新版作業系統的設備，IT人員還是能夠減輕這些漏洞帶來的危險。對於執行AOS-8.x的裝置，IT人員可下達命令啟用cluster-security功能因應，而對於執行AOS-10的裝置，則是要考慮封鎖UDP的8211埠來因應。