9月24日HPE Aruba Networking发布资安公告,该公司旗下的Wi-Fi基地台存在重大漏洞CVE-2024-42505、CVE-2024-42506、CVE-2024-42507,影响运行Instant AOS-8与AOS 10操作系统的网络设备,这些漏洞出现在Aruba的存取点管理通信协定(Aruba's
Access Point management protocol,PAPI),为命令注入漏洞,攻击者可用来远程运行任意命令,CVSS风险评分达到9.8。
这些命令注入漏洞存在于命令行界面(CLI)服务,攻击者可在未通过身分验证的情况下,发送特制封包到采用PAPI协定的UDP端口(8211端口),从而触发上述弱点,一旦成功,攻击者就能以特殊权限的用户身分,于操作系统底层运行任意代码。
针对漏洞影响的范围,该公司表示,运行AOS-10.6.0.2、10.4.1.3,以及Instant AOS-8.12.0.1、8.10.0.13以下版本的无线基地台设备,就有可能受到影响,Mobility Conductor、Mobility Controller、SD-WAN闸道不受影响。他们呼吁用户将路由器的操作系统更新至AOS-10.7.0.0、10.6.0.3、10.6.0.3,以及Instant AOS-8.12.0.2、8.10.0.14以上的版本来因应。
针对无法及时套用新版操作系统的设备,IT人员还是能够减轻这些漏洞带来的危险。对于运行AOS-8.x的设备,IT人员可下达命令激活cluster-security功能因应,而对于运行AOS-10的设备,则是要考虑封锁UDP的8211端口来因应。



2024-09-30
