Aruba Networks, ArubaOS’da ortaya çıkan kritik zafiyetler için güncelleme yayınladı. Zafiyetten etkilenen ürünler Aruba Mobility Conductor, Aruba Mobility Controllers,Aruba-managed WLAN Gateways ve SD-WAN Gateway.
CVE-2023-22747,CVE-2023-22748,CVE-2023-22749 ve CVE-2023-22750 olarak izlenen zafiyetler 10,0 üzerinden 9,8 CVSS puanı almış durumda. Saldırganlar UDP bağlantı noktası 8211 üzerinden PAPI protokolünü kullanarak RCE yapabiliyor. CVE-2023-22751 ve CVE-2023-2275 zafiyetleri ise stack-based buffer overflow’a neden oluyor ve 9,8 CVSS puanı almış durumda.
Etkilenen sürümler aşağıdaki gibidir
- ArubaOS 8.6.0.19 ve altı
- ArubaOS 8.10.0.4 ve altı
- ArubaOS 10.3.1.0 ve altı
- SD-WAN 8.7.0.0-2.3.0.8 ve altı
Zafiyetin giderilmesi için yükseltilmesi gereken sürümler aşağıdaki gibidir
ArubaOS 8.10.0.5 ve üzeri
ArubaOS 8.11.0.0 ve üzeri
ArubaOS 10.3.1.1 ve üzeri
SD-WAN 8.7.0.0-2.3.0.9 ve üzeri
Aşağıdaki sürümleri kullanan ürünler EOL olmuş durumda ve bir güncelleme yayınlanmadı
- Aruba OS 6.5.4.x
- Aruba OS 8.7.xx
- Aruba OS 8.8.xx
- Aruba OS 8.9.xx
- SD-WAN 8.6.0.4-2.2.xx
EOL olmuş ürünler için “Enhanced PAPI Security” modunun etkinleştirilmesi öneriliyor.
Kaynak: bleepingcomputer.com
