2023年3月8日 / 最終更新日時 : 2023年3月8日 テクバン ネットワークソリューション担当 Aruba

HPE ArubaOSに存在する複数のセキュリティ脆弱性(CVE-2021-3712、CVE-2023-22747~CVE-2023-22778)

こんにちは。ネットワークソリューション特集 編集部です。
今回は、HPE ArubaOSに存在する複数のセキュリティ脆弱性(CVE-2021-3712、CVE-2023-22747~CVE-2023-22778)についてお知らせします。

メーカリリース、対象OS

複数の脆弱性が見つかっています。

Advisory ID: ARUBA-PSA-2023-002
CVE: CVE-2021-3712, CVE-2023-22747, CVE-2023-22748,
CVE-2023-22749, CVE-2023-22750, CVE-2023-22751,
CVE-2023-22752, CVE-2023-22753, CVE-2023-22754,
CVE-2023-22755, CVE-2023-22756, CVE-2023-22757,
CVE-2023-22758, CVE-2023-22759, CVE-2023-22760,
CVE-2023-22761, CVE-2023-22762, CVE-2023-22763,
CVE-2023-22764, CVE-2023-22765, CVE-2023-22766,
CVE-2023-22767, CVE-2023-22768, CVE-2023-22769,
CVE-2023-22770, CVE-2023-22771, CVE-2023-22772,
CVE-2023-22773, CVE-2023-22774, CVE-2023-22775,
CVE-2023-22776, CVE-2023-22777, CVE-2023-22778

Aruba モビリティコンダクター(旧モビリティマスター)、Aruba モビリティコントローラー、Aruba Central によって管理される WLAN ゲートウェイおよび SD-WAN ゲートウェイの製品で、以下のファームウェアバージョンをご利用の場合、本脆弱性の影響を受けます。

・脆弱性の影響を受けるバージョン

  • ArubaOS 8.6.x.x : 8.6.0.19 以下
  • ArubaOS 8.10.x.x : 8.10.0.4 以下
  • ArubaOS 10.3.x.x: 10.3.1.0 以下
  • SD-WAN 8.7.0.0-2.3.0.x: 8.7.0.0-2.3.0.8 以下

既にサポートが終了している製品バージョンにおきましても、
本脆弱性の影響を受ける可能性があります。

www.arubanetworks.com
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt

クリティカル脆弱性の影響

今回の脆弱性でCriticalレベルのものは下記になります。Highレベル以下のものはメーカページを参照ください。

  • 重要度:Critical
  • CVSSv3スコア:9.8

1.PAPIプロトコルに存在するコマンドインジェクションの脆弱性
(CVE-2023-22747, CVE-2023-22748, CVE-2023-22749,CVE-2023-22750)

PAPI(Aruba Networks AP management protocol)8211/UDP宛に細工されたパケットを送信することによって、リモートコード実行が可能となります。
攻撃成功した場合、基盤となっているオペレーティングシステム上で特権ユーザーとして任意のコードが実行できるようになります。

2.PAPIプロトコルに存在するスタックベースのバッファオーバーフロー脆弱性
(CVE-2023-22751, CVE-2023-22752)

PAPI(Aruba Networks AP management protocol)8211/UDP宛に細工されたパケットを送信することによって、リモートコード実行が可能となります。
攻撃成功した場合、基盤となっているオペレーティングシステム上で特権ユーザーとして任意のコードが実行できるようになります。

対策

修正されたOSにバージョンアップが必要です。

  • ArubaOS 8.6.x : 8.6.0.20 以上
  • ArubaOS 8.10.x : 8.10.0.5 以上
  • ArubaOS 8.11.x : 8.11.0.0 以上
  • ArubaOS 10.3.x : 10.3.1.1 以上
  • SD-WAN 8.7.0.0-2.3.0.x: 8.7.0.0-2.3.0.9 以上

まとめ

  • ArubaOSに複数の脆弱性が出ている
  • Criticalレベルの脆弱性もあるためバージョンアップ推奨

今回はHPE ArubaOSに存在する複数のセキュリティ脆弱性(CVE-2021-3712、CVE-2023-22747~CVE-2023-22778)についてお知らせしました。

関連記事:

HPE ArubaOSに存在する複数のセキュリティ脆弱性(CVE-2022-37897~CVE-2022-37912) HPE Aruba SwitchのTLStorm 2.0脆弱性(2022年5月) Log4j 脆弱性対応(CVE-2021-44228)の当社取り扱い製品(NW製品)状況 OpenSSL v3 脆弱性(CVE-2022-3602、CVE-2022-3786)の当社取り扱い製品(NW製品)状況
カテゴリー
Aruba
タグ
Cisco

前の記事

Cisco AnyConnect Version 4.x サポート終了(2024年3月)
2023年3月6日
CUCM

次の記事

Cisco Unified Communications Manager 12.5サポート終了(2025年8月)
2023年3月8日