Aruba, EdgeConnect Enterprise Orchestrator için uzak saldırganların ana bilgisayarın güvenliğini aşmasına olanak tanıyan çok sayıda kritik önemdeki güvenlik açığını ele alan güvenlik güncellemeleri yayınladı.
Aruba EdgeConnect Orchestrator, kurumsal kullanıcılara optimizasyon, yönetim, otomasyon ve gerçek zamanlı görünürlük ve izleme özellikleri sunan, yaygın olarak kullanılan bir WAN yönetim çözümüdür.
Bu üründeki kritik ve kolayca yararlanılabilen kusurlar, sistemler ve ağlar için riskler getirir, bu nedenle mevcut güvenlik güncellemelerinin uygulanması yöneticiler için bir öncelik olmalıdır.
En son Aruba yamasında düzeltilen güvenlik açıkları şunlardır:
CVE-2022-37913 ve CVE-2022-37914 (CVSS v3.1 – 9.8): EdgeConnect Orchestrator’ın web tabanlı yönetim arayüzündeki kimlik doğrulama atlama hatası, kimliği doğrulanmamış, uzak bir saldırganın kimlik doğrulamasını atlamasını sağlar.
Bu kusurdan başarılı bir şekilde yararlanılması, bir saldırganın ayrıcalıklarını kimlik bilgileri olmadan yönetici olarak yükseltmesine ve ana bilgisayar güvenliğini aşmanın yolunu açmasına yol açar.
CVE-2022-37915 (CVSS v3.1 – 9.8): EdgeConnect Orchestrator’ın web tabanlı yönetim arayüzündeki kusur, temeldeki ana bilgisayarda rastgele komut yürütülmesine izin verir ve tam sistem güvenliğinin ihlal edilmesine yol açar.
Ciddi güvenlik sorunlarını ele alan sürümler şunlardır:
- Aruba EdgeConnect Kurumsal Orkestratörü 9.2.0.0.40405 ve yukarıda
- Aruba EdgeConnect Kurumsal Orkestratörü 9.1.3.40197 ve yukarıda
- Aruba EdgeConnect Kurumsal Orkestratörü 9.0.7.40110 ve yukarıda
- Aruba EdgeConnect Kurumsal Orkestratörü 8.10.23.40015 ve yukarıda
Daha eski sürümler satıcı tarafından desteklenmez ve yukarıdaki güvenlik açıkları için bir güvenlik güncellemesi almaz. Bu nedenle, eski sürümlerin kullanıcılarının mümkün olan en kısa sürede daha yeni bir ürün sürümüne geçmeleri önerilir.
Satıcı tarafından sağlanan bir geçici çözüm güvenlik danışmanlığı ürünün CLI ve web tabanlı yönetim arayüzlerini özel bir katman 2 segmenti/VLAN ile sınırlamak veya güvenlik duvarı ilkelerini katman 3 ve üstü olarak ayarlamaktır.
Aruba, bugün itibariyle, bahsedilen kusurların aktif olarak istismar edildiğini tespit etmediğini ve güvenlik açıklarını hedef alan herhangi bir tartışma veya kavram istismarı kanıtı görmediğini belirtti.
Ancak, kusurların kritikliği ve değerli ortamlarda EdgeConnect’in geniş dağıtımı düşünüldüğünde, saldırganların güvenlik açıkları için açıklardan yararlanmaya çalışacağını söylemek güvenlidir.
Saldırılarda kullanılacak bir PoC açığı olmasa bile, bilgisayar korsanları genellikle dakikalar içinde taramaları başlatın Gelecekte kullanım veya satış için sömürülebilir hedefler içeren listeleri derlemek için kusur ifşasının.