HPE Aruba SwitchのTLStorm 2.0脆弱性(2022年5月)
こんにちは。ネットワークソリューション特集 編集部です。
今回は、HPE Aruba SwitchのTLStorm 2.0脆弱性(2022年5月)についてお知らせします。
1次ソース
2022年3月にAPC Smart-UPSの脆弱性が発表されていましたが同じNanoSSLライブラリを利用してるネットワークスイッチにも脆弱性が見つかっています。
脆弱性の影響
TLStorm 2.0で脆弱性を突くことで下記が可能となります。
- ネットワークセグメンテーションの中断、スイッチの動作を変更することで追加のデバイスへの横方向の移動を可能にする
- 内部ネットワークからインターネットへの企業ネットワークトラフィックまたは機密情報のデータ漏洩
- キャプティブポータルから未認証で脱出できる
Arubaアナウンス
メーカからは下記のアナウンスが出ております。
- CVE-2022-23676, CVE-2022-23677
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-008.txt
Aruba対象機器、OSバージョン
対象機種は下記となります。
- Aruba 5400R Series Switches
- Aruba 3810 Series Switches
- Aruba 2920 Series Switches
- Aruba 2930F Series Switches
- Aruba 2930M Series Switches
- Aruba 2530 Series Switches
- Aruba 2540 Series Switches
対象バージョンは下記となります。
- ArubaOS-Switch 15.xx.xxxx: All versions.
- ArubaOS-Switch 16.01.xxxx: All versions.
- ArubaOS-Switch 16.02.xxxx: K.16.02.0033 and below.
- ArubaOS-Switch 16.03.xxxx: All versions.
- ArubaOS-Switch 16.04.xxxx: All versions.
- ArubaOS-Switch 16.05.xxxx: All versions.
- ArubaOS-Switch 16.06.xxxx: All versions.
- ArubaOS-Switch 16.07.xxxx: All versions.
- ArubaOS-Switch 16.08.xxxx: KB/WB/WC/YA/YB/YC.16.08.0024 and below.
- ArubaOS-Switch 16.09.xxxx: KB/WB/WC/YA/YB/YC.16.09.0019 and below.
- ArubaOS-Switch 16.10.xxxx: KB/WB/WC/YA/YB/YC.16.10.0019 and below.
- ArubaOS-Switch 16.11.xxxx: KB/WB/WC/YA/YB/YC.16.11.0003 and below.
バージョンアップ手順
メーカ資料を参考に実施してください。(P28~)
https://www.arubanetworks.com/assets/_ja/support/cg/UG_ArubaOS_Switches.pdf
まとめ
- キャプティブポータル未認証通信が通信可能となってしまう
- スイッチ設定変更され意図しないところから通信可能となってしまう
- リビジョンによっては修正OSがリリースされていないので注視が必要
今回はHPE Aruba SwitchのTLStorm 2.0脆弱性(2022年5月)についてご連絡しました。
