เมนู

Aruba Networks
ประกาศแก้ไขช่องโหว่ 6 รายการ

ส่งผลกระทบ Aruba Mobility Conductor, Aruba Mobility Controllers และ SD-WAN Gateways


3 มีนาคม 2566

Aruba Networks ได้เผยแพร่ข้อแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ระดับวิกฤต 6 รายการที่จะส่งผลกระทบต่อระบบปฏิบัติการ ArubaOS ในหลายเวอร์ชัน

การบริหารจัดการดังกล่าวเป็นข้อบกพร่องส่งผลกระทบต่อ Aruba Mobility Conductor, Aruba Mobility Controllers และ SD-WAN Gateways

ข้อบกพร่องสำคัญในครั้งนี้สามารถแยกออกได้เป็นสองประเภทคือ command injection flaws และ stack-based buffer overflow PAPI (Aruba Networks access point management protocol)

ช่องโหว่นี้ถูกติดตามเป็นหมายเลข CVE-2023-22747,  CVE-2023-22748,  CVE-2023-22749 และ CVE-2023-22750 (CVSS:v3: 9.8/10.0)

และสำหรับ Stack-based buffer overflow ได้รับการติดตามด้วย CVE-2023-22751  และ  CVE-2023-22752 ได้รับคะแนน (CVSS:v3: 9.8)

โดยผลกระทบในครั้งนี้ทำให้ผู้โจมตี ที่ไม่มีสิทธิ์สามารถเข้าใช้งานได้จากระยะไกล โดยไม่ต้องพิสูจน์ตัวตนผ่านทาง PAPI ผ่านพอร์ต UDP 8211 ส่งผลให้ได้รับสิทธิ์ผู้ใช้งานในระดับ Privileged บน ArubaOS

เวอร์ชันที่ได้ส่งผลกระทบคือ:

  • ArubaOS 8.6.0.19 หรือต่ำกว่า
  • ArubaOS 8.10.0.4 หรือต่ำกว่า
  • ArubaOS 10.3.1.0 หรือต่ำกว่า
  • SD-WAN 8.7.0.0-2.3.0.8 หรือต่ำกว่า

เวอร์ชันที่ต้องอัปเกรดใน Aruba OS คือ:

  • ArubaOS 8.10.0.5 ขึ้นไป
  • ArubaOS 8.11.0.0 ขึ้นไป
  • ArubaOS 10.3.1.1 ขึ้นไป
  • SD-WAN 8.7.0.0-2.3.0.9 ขึ้นไป

สำหรับเวอร์ชันที่ End of Life (EoL) และไม่สามารถอัปเกรดได้คือ:

  • ArubaOS 6.5.4.x
  • ArubaOS 8.7.xx
  • ArubaOS 8.8.xx
  • ArubaOS 8.9.xx
  • SD-WAN 8.6.0.4-2.2.x.x

แนวทางแก้ไขสำหรับอุปกรณ์ที่ End of Life (EoL) และไม่สามารถอัปเกรดได้ ให้เปิดใช้งานโหมด “Enhanced PAPI Security” โดยใช้คีย์ที่ไม่ใช่ค่าเริ่มต้น (Non-default key)

อย่างไรก็ตาม ผลกระทบช่องโหว่ในครั้งนี้ไม่ได้กล่าวถึงความรุนแรงระดับสูงอีก 15 รายการและช่องโหว่ที่มีความรุนแรงปานกลางอีก 8 รายการ ที่การระบุไว้ใน คำแนะนำด้านความปลอดภัยของ Aruba ที่ถูกแก้ไขในเวอร์ชันใหม่

ข้อบกพร่องนี้ถูกค้นพบโดยนักวิเคราะห์ความปลอดภัย Erik de Jong ได้รายงานอย่างเป็นทางการเมื่อ 28 กุมภาพันธ์ 2565

อ้างอิง: bleepingcomputer.com

#ข่าวไซเบอร์ #ภัยคุกคาม #ช่องโหว่ #Aruba #CVE-2023-22747 #CVE #CVSS #CVE-2023-22748 #CVE-2023-22749 #CVE-2023-22750 #CVE-2023-22751 #CVE-2023-22752

#Aruba Networks fixes six critical vulnerabilities in ArubaOS