Aruba Networking Access Points漏洞CVE-2024-42505

HPE Aruba Networking Access Points（接入点）是HPE旗下的 Aruba Networking 推出的一系列高性能无线接入点产品。

Aruba 提供的移动网络控制器虚拟设备能在经济高效的虚拟化环境中提供硬件控制器的功能，提供行业领先的网络服务。

一、基本情况

HPE Aruba Networking Access Points 指在提供稳定、高效、安全无线网络连接，广泛应用于企业、教育、商业等场景。

惠普企业（Hewlett Packard Enterprise）发布关于其 Aruba Networking Access Points（网络接入点）的重大安全公告。

安全公告称 Aruba OS存在多个严重命令注入漏洞，漏洞标记为CVE-2024-42505、CVE-2024-42506、 CVE-2024-42507。

这些漏洞的存在可导致未授权的攻击者有机会通过精心构造的数据包对系统进行攻击，且上述漏洞 CVSS评分均为 9.8。

二、漏洞分析

HPE Aruba Networking Access Points 修复多个命令注入漏洞：CVE-2024-42505、CVE-2024-42506、 CVE-2024-42507。

由于HPE Aruba Networking Access Points 底层 CLI 服务中存在多个命令注入漏洞，可导致未经身份验证远程代码执行。

这些漏洞允许导致未经身份验证的威胁者通过向 PAPI（Aruba的接入点管理协议）UDP 端口 (8211) 发送特制的数据包。

成功利用上述这些漏洞，可能导致在底层操作系统上以特权用户身份执行任意命令或代码，从而绕过正常身份验证机制。

因此来说，攻击者能够利用此类攻击方式直接对设备进行操控，从而可能导致数据泄露、服务中断以及其他的严重后果。

三、影响范围

AOS-10.7.x.x <=10.7.0.0

AOS-10.6.x.x <=10.6.0.2

AOS-10.4.x.x  <=10.4.1.3

Instant AOS-8.12.x.x <=8.12.0.1

Instant AOS-8.10.x.x <=8.10.0.13

四、修复建议

目前，HPE Aruba Networking 已经针对运行 Instant AOS-8 和 AOS-10 的 Aruba Access Points 发布了 AOS 软件补丁。

受影响用户需升级到以下相应修复版本（运行EoSL软件的用户可升级到受支持的版本）：

AOS-10.7.x.x >=10.7.0.0

AOS-10.6.x.x >=10.6.0.3

AOS-10.4.x.x >=10.4.1.4

Instant AOS-8.12.x.x >=8.12.0.2

Instant AOS-8.10.x.x >=8.10.0.14

五、参考链接

https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04712en_us

https://nvd.nist.gov/vuln/detail/CVE-2024-42505