[TLP:CLEAR] HPE Aruba Networking EdgeConnect SD-WAN Gateways opravuje 7 zraniteľností
Aruba verziami 9.5.0.0, 9.4.2.0 a 9.3.4.0 opravuje 7 zraniteľností v produkte HPE Aruba Networking EdgeConnect SD-WAN Gateways, ktoré využívajú softvér ECOS [1]. Pre dočasnú opravu spomínaných zraniteľností je možné obmedziť príkazový riadok a webové prostredie určené pre manažment na dedikovaný segment vrstvy 2 a/alebo kontrolovať prístup pomocou firewallu na 3 alebo vyššej vrstve. Taktiež sa odporúča, aby bola sieťová prevádzka týkajúca sa manažmentu RADIUS a TACACS smerovaná cez zabezpečené SD-WAN tunely [1].
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať Terrapin útok a obmedziť tak zabezpečenie SSH spojenia klienta a postihnutého stroja [1].
Zraniteľnosť sa nachádza v produkte Aruba Networking EdgeConnect SD-WAN vo verziách <9.3.4.0
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
Viac informácií:
- CVE-2023-48795 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-354: Improper Validation of Integrity Check Value at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 7. 2024.
Neautentizovanému vzdialenému útočníkovi je cez OpenSSH za určitých okolností umožnené spúšťať ľubovolné príkazy v operačnom systéme postihnutého zariadenia [1].
Zraniteľnosť sa nachádza v produkte Aruba Networking EdgeConnect SD-WAN vo verziách <9.3.4.0
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Viac informácií:
- CVE-2023-51385 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 7. 2024.
Autentizovanému vzdialenému útočníkovi je cez prostredie príkazového riadku umožnené spúšťať ľubovolné príkazy v operačnom systéme postihnutého zariadenia [1].
Zraniteľnosť sa nachádza v produkte Aruba Networking EdgeConnect SD-WAN vo verziách <9.3.4.0
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-41136 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 7. 2024.
Autentizovanému vzdialenému útočníkovi je cez prostredie príkazového riadku umožnené spúšťať ľubovolné príkazy v operačnom systéme postihnutého zariadenia s právami root. Zneužitie zraniteľnosti môže viesť k úplnej kompromitácii postihnutého stroja [1].
Zraniteľnosť sa nachádza v produkte Aruba Networking EdgeConnect SD-WAN vo verziách <9.3.4.0
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-41133 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-41134 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-41135 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') at cwe.mitre.org
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 7. 2024.
Autentizovanému vzdialenému útočníkovi je cez webové rozhranie určené pre manažment umožnené spúšťať ľubovolné príkazy v operačnom systéme postihnutého zariadenia, zasielaním špeciálne vytvorených HTTP požiadaviek. Zneužitie zraniteľnosti môže viesť k úplnej kompromitácii postihnutého stroja [1].
Zraniteľnosť sa nachádza v produkte Aruba Networking EdgeConnect SD-WAN vo verziách <9.3.4.0
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-33519 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') at cwe.mitre.org
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 7. 2024.
Publikoval Martin Krajči dňa 29. 7. 2024.
