HPE Aruba Networking heeft drie kritieke kwetsbaarheden in de Command Line Interface (CLI) service van zijn Aruba Access Points opgelost.

De beveiligingsfouten (CVE-2024-42505, CVE-2024-42506 en CVE-2024-42507) kunnen niet-geverifieerde aanvallers in staat stellen om op afstand code uit te voeren op kwetsbare apparaten door speciaal vervaardigde pakketten te sturen naar de PAPI (Aruba’s Access Point beheersprotocol) UDP-poort (8211).

HPE Aruba Networking, een dochteronderneming van Hewlett Packard Enterprise (HPE) voorheen bekend als Aruba Networks, waarschuwde dat succesvolle exploitatie dreigingsactoren in staat stelt om willekeurige code uit te voeren met bevoorrechte toegang.

De drie kwetsbaarheden hebben invloed op Aruba Access Points die Instant AOS-8 en AOS 10 draaien en werden gerapporteerd door beveiligingsonderzoeker Erik De Jong via HPE Aruba Networking’s bug bounty-programma.

Betrokken versies omvatten AOS-10.6.x.x (10.6.0.2 en lager), AOS-10.4.x.x (10.4.1.3 en lager), Instant AOS-8.12.x.x (8.12.0.1 en lager), en Instant AOS-8.10.x.x (8.10.0.13 en lager).

Het bedrijf raadt beheerders aan hun apparaten bij te werken naar de nieuwste software om mogelijke aanvallen te blokkeren (patches zijn beschikbaar voor download op de HPE Networking Support Portal).

Werkoplossing beschikbaar, geen actieve exploitatie

Als tijdelijke werkoplossing voor apparaten die Instant AOS-8.x code draaien, kunnen beheerders “cluster-security” inschakelen om exploitatiepogingen te blokkeren. Voor AOS-10 apparaten adviseert het bedrijf om de toegang tot poort UDP/8211 vanuit alle niet-vertrouwde netwerken te blokkeren.

HPE Aruba Networking bevestigde ook dat andere Aruba-producten, waaronder Networking Mobility Conductors, Mobility Controllers en SD-WAN Gateways, niet zijn getroffen.

Volgens het HPE Product Security Response Team is er geen openbare exploitcode beschikbaar en zijn er geen meldingen van aanvallen die gericht zijn op de drie kritieke kwetsbaarheden.

Eerder dit jaar heeft het bedrijf ook vier kritieke RCE-kwetsbaarheden verholpen die meerdere versies van ArubaOS, zijn eigen netwerkbesturingssysteem, beïnvloeden.

In februari zei Hewlett Packard Enterprise (HPE) dat het een mogelijke inbreuk aan het onderzoeken was nadat een dreigingsacteur inloggegevens en andere gevoelige informatie (naar verluidt gestolen van HPE) te koop aanbood op een hackersforum.

Twee weken eerder meldde het dat zijn Microsoft Office 365 e-mailomgeving in mei 2023 was geschonden door hackers die naar verluidt deel uitmaken van de APT29-dreigingsgroep die wordt gelinkt aan de Buitenlandse Inlichtingendienst van Rusland (SVR).