Aruba Access Pointに存在する複数の脆弱性(CVE-2022-25667、CVE-2023-35980~35982)
こんにちは。ネットワークソリューション特集 編集部です。
今回は、Aruba Access Pointに存在する複数の脆弱性(CVE-2022-25667、CVE-2023-35980~35982)についてお知らせします。
メーカリリース、対象OS
複数の脆弱性が見つかっています。
Advisory ID: ARUBA-PSA-2023-009
CVE-2022-25667、CVE-2023-35980、CVE-2023-35981、CVE-2023-35982
Aruba モビリティコンダクター(旧名称:モビリティマスター)、モビリティコントローラー、モビリティコントローラーで管理しているAccess Pointは脆弱性の対象外です。
・脆弱性の影響を受けるバージョン
- InstantOS 6.4.x.x: 6.4.4.8-4.2.4.21 以下
- InstantOS 6.5.x.x: 6.5.4.24 以下
- InstantOS 8.6.x.x: 8.6.0.20 以下
- InstantOS 8.10.x.x: 8.10.0.6 以下
- InstantOS 8.11.x.x: 8.11.1.0 以下
- ArubaOS 10.4.x.x: 10.4.0.1 以下
既にサポートが終了している製品バージョンにおきましても、本脆弱性の影響を受ける可能性がありますが修正バージョンは提供されません。
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-009.txt
クリティカル脆弱性の影響
今回の脆弱性でCriticalレベルのものは下記になります。Highレベル以下のものはメーカページを参照ください。
- 重要度:Critical
- CVSSv3スコア:9.8
PAPIプロトコルに存在するバッファオーバーフローの脆弱性
(CVE-2023-35980, CVE-2023-35981, CVE-2023-35982)
PAPI(Aruba Networks AP management protocol)8211/UDP宛に、細工されたパケットを送信することによって、複数の基盤となっているサービスに対して、リモートコード実行が可能となるバッファオーバーフロー脆弱性があります。脆弱性の悪用に成功した場合、基盤となっているオペレーティングシステム上で、特権ユーザーとして任意のコードが実行できるようになります。
対策
修正されたOSにバージョンアップが必要です。
- InstantOS 6.4.x: 6.4.4.8-4.2.4.22 以上
- InstantOS 6.5.x: 6.5.4.25 以上
- InstantOS 8.6.x: 8.6.0.21 以上
- InstantOS 8.10.x.x: 8.10.0.7 以上
- InstantOS 8.11.x.x: 8.11.1.1 以上
- ArubaOS 10.4.x.x: 10.4.0.2 以上
ver6.X、ver8.Xはクラスタセキュリティを有効にするワークアラウンド対応があります。
まとめ
- ArubaOSに複数の脆弱性が出ている
- Criticalレベルの脆弱性はワークアラウンド対応も可能
今回はAruba Access Pointに存在する複数の脆弱性(CVE-2022-25667、CVE-2023-35980~35982)についてお知らせしました。
