聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Aruba 发布EdgeConnect Enterprise Orchestrator 安全更新,修复了可导致远程攻击者攻陷主机的多个严重漏洞。
Aruba EdgeConnect Orchestrator 是一款广泛使用的WAN管理解决方案,为企业用户提供优化、管理、自动化和实时可见性和监控特性服务。该产品中存在严重的可利用漏洞,为系统和网络带来安全风险,因此管理员应将安装安全更新作为优先任务对待。
CVE-2022-37913和CVE-2022-37914的CVSS v3.1评分为9.8,是位于EdgeConnect Orchestrator web管理接口中的认证绕过漏洞,可导致未认证的远程攻击者绕过认证。攻击者如成功利用该漏洞,可在无需凭据的情况下将权限提升至管理员权限,从而完全控制主机。
CVE-2022-37915的CVSS v3.1评分为9.8,是位于EdgeConnect Orchestrator web管理接口中的群贤,可导致在底层主机上执行任意命令并导致系统遭完全攻陷。
已修复这些漏洞的Aruba EdgeConnect Orchestrator 版本是9.2.0.40405及以上版本、9.1.3.40197及以上版本、9.0.7.40110及以上版本与8.10.23.40015及以上版本。
Aruba已不支持老旧版本,因此将不会发布相关安全更新。因此,建议使用老旧版本的用户尽快升级产品版本。
不过Aruba 提供了缓解措施,将该产品的CLI和web管理接口先知道专门的二层分区/VLAN或者将防火墙策略设置为三层及以上。
Aruba 公司提到,尚未发现上述漏洞遭利用的迹象或者关于PoC的讨论。不过,鉴于这些漏洞的严重程度之高且在高价值环境中的广泛部署,可以说攻击者将尝试创建相关漏洞利用。即使没有PoC利用,黑客也常在漏洞发布的数分钟之内扫描可利用的目标,供后续使用或出售。
https://www.bleepingcomputer.com/news/security/aruba-fixes-critical-rce-and-auth-bypass-flaws-in-edgeconnect/
题图:网络
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~