HPE Aruba Networking แก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อ Access Points

HPE Aruba Networking ได้แก้ไขช่องโหว่ระดับ Critical 3 รายการ ใน Command Line Interface (CLI) ในส่วนของ Aruba Access Points ซึ่งเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ได้

ช่องโหว่ (CVE-2024-42505, CVE-2024-42506 และ CVE-2024-42507) สามารถถูกนำไปใช้ในการโจมตีได้โดยการส่งแพ็กเก็ตที่สร้างขึ้นมาเป็นพิเศษไปยังพอร์ต UDP (8211) ของ PAPI (โปรโตคอลการจัดการ Access Point ของ Aruba) เพื่อรับสิทธิ์ระดับสูงในการเข้าถึง และเรียกใช้โค้ดตามที่ต้องการบนอุปกรณ์ที่มีช่องโหว่

บริษัทในเครือของ Hewlett Packard Enterprise (HPE) (เดิมเรียกว่า Aruba Networks) ยืนยันข้อมูลด้านความปลอดภัยที่เปิดเผยเมื่อต้นสัปดาห์นี้ว่า ช่องโหว่ด้านความปลอดภัยส่งผลกระทบต่อ Aruba Access Points ที่ใช้ Instant AOS-8 และ AOS-10

นักวิจัย Erik De Jong ได้รายงานช่องโหว่ดังกล่าวผ่านโครงการ Bug Bounty ของบริษัท โดยมีซอฟต์แวร์เวอร์ชันที่ได้รับผลกระทบ ได้แก่:

  • AOS-10.6.x.x: 10.6.0.2 และต่ำกว่า
  • AOS-10.4.x.x: 10.4.1.3 และต่ำกว่า
  • Instant AOS-8.12.x.x: 8.12.0.1 และต่ำกว่า
  • Instant AOS-8.10.x.x: 8.10.0.13 และต่ำกว่า

แนะนำให้ผู้ดูแลระบบติดตั้ง และอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุด (สามารถดาวน์โหลดได้จาก HPE Networking Support Portal) บน vulnerable access points เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น

แนวทางการแก้ไขปัญหาชั่วคราว

การแก้ปัญหาชั่วคราวสำหรับอุปกรณ์ที่ใช้โค้ด Instant AOS-8.x ผู้ดูแลระบบสามารถเปิดใช้งาน cluster-security เพื่อบล็อกการพยายามโจมตี และสำหรับอุปกรณ์ AOS-10 แนะนำให้บล็อกการเข้าถึงพอร์ต UDP/8211 จากเครือข่ายที่ไม่น่าเชื่อถือทั้งหมด

HPE Aruba Networking ยืนยันว่าผลิตภัณฑ์ Aruba อื่น ๆ รวมถึง Networking Mobility Conductors, Mobility Controllers และ SD-WAN Gateways ไม่ได้รับผลกระทบ

ตามรายงานของ Security Response Team ของ HPE ยังไม่พบโค้ดการโจมตีถูกเปิดเผยออกสู่สาธารณะ และยังไม่มีรายงานการโจมตีที่มีเป้าหมายมายังช่องโหว่ 3 รายการนี้

เมื่อต้นปีนี้ บริษัทได้แก้ไขช่องโหว่ RCE ระดับ critical 4 รายการ โดยส่งผลกระทบต่อ ArubaOS หลายเวอร์ชัน ซึ่งเป็นระบบปฏิบัติการเครือข่ายที่เป็นกรรมสิทธิ์ของบริษัท

ในเดือนกุมภาพันธ์ Hewlett Packard Enterprise (HPE) ระบุว่ากำลังตรวจสอบการละเมิดที่เกิดขึ้น หลังจากผู้โจมตีได้โพสต์ข้อมูลประจำตัว และข้อมูลสำคัญอื่น ๆ (ซึ่งถูกกล่าวหาว่าขโมยมาจาก HPE) เพื่อขายบนฟอรัมแฮ็กเกอร์

สองสัปดาห์ก่อนหน้านี้ HPE ได้รายงานว่าอีเมล Microsoft Office 365 ถูกละเมิดในเดือนพฤษภาคม 2023 โดยเชื่อว่าผู้โจมตีเป็นกลุ่ม APT29 ซึ่งมีความเชื่อมโยงกับหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR)
**

ที่มา : bleepingcomputer