首页 网络安全 正文
  • 本文约2119字,阅读需11分钟
  • 133
  • 0

Aruba Networking Access Points漏洞CVE-2024-42509

摘要

栋科技漏洞库关注到HPE Aruba Networking Access Points近期修复一个命令注入漏洞,漏洞被追踪为CVE-2024-42509,CVSS评分9.8。

HPE Aruba Networking Access Points(接入点)是 HPE 旗下Aruba Networking 高性能无线接入点系列产品,帮助用户实现广泛IoT覆盖。

一、基本情况

HPE Aruba Networking 旨在提供稳定、高效、安全的无线网络连接,通过智能、快速且安全企业连接,提升 IT 人员、用户和物联网体验。

其凭借二十余载引领 Wi-Fi 创新之势,始终致力于提供可靠、安全、高性能的连接解决方案,被广泛应用于企业、教育、商业等各种场景。

其最新的无线接入点超越 Wi‑Fi 7 标准,功能更多、更强,解锁更多信道、提供更多 IoT 支持及小于1米的定位精度,满足任何使用场景。

Aruba Networking Access Points漏洞CVE-2024-42509

栋科技漏洞库关注到HPE Aruba Networking Access Points近期修复一个命令注入漏洞,漏洞被追踪为CVE-2024-42509,CVSS评分9.8。

二、漏洞分析

CVE-2024-42509漏洞是存在于HPE Aruba Networking Access Points 底层 CLI 服务中存在的命令注入漏洞,该漏洞的安全风险相对极高。

该漏洞允许未经身份验证的攻击者通过向 PAPI(Aruba 的接入点管理协议)UDP 端口(8211) 发送特制数据包,从而导致远程命令执行。

攻击者成功利用该漏洞,可能导致在底层操作系统上以特权用户的身份执行任意代码。

关联漏洞如下:CVE-2024-47460、CVE-2024-47461、CVE-2024-47462、CVE-2024-47463、CVE-2024-47464。

1、CVE-2024-47460

底层 CLI 服务命令注入漏洞,通过发送到PAPI(Aruba 接入点管理协议)UDP 端口(8211)特制数据包导致未经身份验证远程代码执行。

该漏洞的CVSS3.1评分高达9.0,成功利用此漏洞可以导致以特权用户身份在底层操作系统上执行任意代码。

2、CVE-2024-47461

该漏洞是 Aruba Networking Access Points Instant AOS-8 和 AOS-10 命令行界面中存在的一个经过身份验证的命令注入漏洞。

该漏洞CVSS3.1评分为7.2,成功利用可能导致攻击者以特权用户身份在底层操作系统上执行任意命令,从而完全破坏底层主机操作系统。

3、CVE-2024-47462

该漏洞是 Aruba Networking Access Points Instant AOS-8 和 AOS-10 命令行界面中存在的一个任意文件创建漏洞。

该漏洞CVSS3.1评分为7.2,成功利用此漏洞可能允许经过身份验证远程攻击者创建任意文件,导致底层操作系统远程命令执行(RCE)。

4、CVE-2024-47463

该漏洞是 Aruba Networking Access Points Instant AOS-8 和 AOS-10 命令行界面中存在的一个任意文件创建漏洞。

该漏洞CVSS3.1评分为7.2,成功利用此漏洞可能允许经过身份验证远程攻击者创建任意文件,导致底层操作系统远程命令执行(RCE)。

5、CVE-2024-47464

该漏洞是 Aruba Networking Access Points Instant AOS-8 和 AOS-10 中经过身份验证的路径遍历漏洞,可能导致文件远程未经授权访问。

该漏洞的CVSS3.1评分为6.8,成功利用该漏洞允许攻击者从底层操作系统的命令行界面将任意文件复制到用户可读位置。

三、影响范围

运行 AOS-8 和 AOS-10 的所有 HPE Aruba Networking Access Points

1、受影响的软件版本

AOS-10.4.xx: 10.4.1.4及以下

Instant AOS-8.12 . xx:8.12.0.2及以下

Instant AOS-8.10 . xx:8.10.0.13及以下

2、下列软件版本的维护期结束(EoM)会受到这些漏洞的影响,并且通报中不涉及这些漏洞

AOS-10.6.xx:全部

AOS-10.5.xx:全部

AOS-10.3.xx:全部

Instant AOS-8.11.xx:全部

Instant AOS-8.9.xx:全部

Instant AOS-8.8.xx:全部

Instant AOS-8.7.xx:全部

Instant AOS-8.6.xx:全部

Instant AOS-8.5.xx:全部

Instant AOS-8.4.xx:全部

Instant AOS-6.5.xx:全部

Instant AOS-6.4.xx:全部

四、修复建议

目前 HPE Aruba Networking 已针对运行 Instant AOS-8 和 AOS-10 的 Aruba Access Points 发布了软件补丁

受影响用户可升级到如下修复版本(运行EoM软件的用户可升级到受支持的版本):

AOS-10.7.x.x >=10.7.0.0

AOS-10.4.x.x >=10.4.1.5

Instant AOS-8.12.x.x >=8.12.0.3

Instant AOS-8.10.x.x >=8.10.0.14

五、参考链接

https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04722en_us&docLocale=en_US 

标签:网络安全栋科技漏洞库

📚 推荐阅读


扫描二维码,在手机上阅读
评论
更换验证码
友情链接