Aruba ออกอัปเดตแก้ไขช่องโหว่สำคัญใน ArubaOS
Aruba Networks ได้โพสต์คำแนะนำด้านความปลอดภัยเพื่อแจ้งให้ลูกค้าทราบเกี่ยวกับช่องโหว่ระดับวิกฤต 6 รายการที่ส่งผลกระทบต่อระบบปฏิบัติการของเครือข่ายไร้สายอย่าง ArubaOS หลายเวอร์ชัน
ช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ทั้ง Aruba Mobility Conductor, Aruba Mobility Controllers, Aruba-managed WLAN Gateways และ SD-WAN
ข้อบกพร่องสำคัญที่ Aruba แก้ไขในครั้งนี้สามารถแบ่งออกเป็นสองประเภทได้แก่
1 ข้อบกพร่อง command injection flaws
2 stack-based buffer overflow ในโปรโตคอล PAPI ซึ่งเป็นโปรโตคอลการจัดการอุปกรณ์ Access Point ของ Aruba
โดยข้อบกพร่องทั้งหมดถูกค้นพบโดยนักวิเคราะห์ความปลอดภัย Erik de Jong ซึ่งรายงานผ่านโปรแกรมให้รางวัลในการช่วยค้นหาข้อบกพร่องที่ Aruba จัดให้มีขึ้น
ช่องโหว่ command injection flaws บน ArubaOS ได้แก่ CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 และ CVE-2023-22750 โดยมีคะแนน CVSS v3 อยู่ที่ 9.8 จาก 10.0
ส่วนข้อผิดพลาด stack-based buffer overflow CVE-2023-22751 และ CVE-2023-22752 และยังมีคะแนน CVSS v3 ที่ 9.8
ที่เปิดโอกาสให้แฮกเกอร์สามารถ ส่งแพ็กเก็ตที่สร้างขึ้นเป็นพิเศษโดยใช้โปรโตคอล PAPI ผ่านพอร์ต UDP 8211 แล้วสามารถรันโค้ดคำสั่งได้
ArubaOS เวอร์ชันที่ได้รับผลกระทบคือ:
- ArubaOS ตั้งแต่เวอร์ชัน 8.6.0.19 ลงไป
- ArubaOS ตั้งแต่เวอร์ชัน 8.10.0.4 ลงไป
- SD-WAN ตั้งแต่เวอร์ชัน 8.7.0.0-2.3.0.8 ลงไป
Aruba แจ้งว่า ArubaOS ที่จะได้รับการแก้ไขประกอบด้วย
- ArubaOS 8.10.0.5 ขึ้นไป
- ArubaOS 8.11.0.0 ขึ้นไป
- ArubaOS 10.3.1.1 ขึ้นไป
- SD-WAN 8.7.0.0-2.3.0.9 ขึ้นไป
แต่ที่น่ากังวลคือ ArubaOS เวอร์ชันที่สิ้นสุดการสนับสนุนไปแล้ว (End of Life (EoL)) ซึ่งได้รับผลกระทบจากช่องโหว่นี้เช่นกัน จะไม่ได้รับการอัปเดทแก้ไขแต่อย่างใด ซึ่งประกอบด้วย ArubaOS 6.5.4.x ArubaOS 8.7.x.x ArubaOS 8.8.x.x ArubaOS 8.9.x.x SD-WAN 8.6.0.4-2.2.x.x
วิธีแก้ปัญหาสำหรับผู้ดูแลระบบที่ไม่สามารถใช้การอัปเดตความปลอดภัยหรือกำลังใช้อุปกรณ์ EoL คือเปิดใช้งานโหมด “Enhanced PAPI Security”
อย่างไรก็ตาม แก้ไขนี้ไม่ได้ครอบคลุมถึง ช่องโหว่ที่มีความรุนแรงสูงอีก 15 รายการและช่องโหว่ที่มีความรุนแรงปานกลางอีก 8 รายการ ที่เคยระบุอยู่บน Aruba’s security advisory ใครใช้อยู่คงต้องติดตามข่าวอย่างใก้ชิดต่อไป
ที่มา : bleeipngcomputer