运行AOS-8和AOS-10的Aruba接入点需要紧急打补丁，因为HPE为其网络子公司接入点中的三个关键漏洞发布了修复程序。

这些问题将允许未经身份验证的攻击者通过向UDP端口8211发送精心构造的数据包来在Aruba系统上执行代码。该端口是操作系统专有的访问协议接口（PAPI），这将为恶意人员提供对设备的特权访问。

这三个漏洞——CVE-2024-42505、CVE-2024-42506 和 CVE-2024-42507——在CVSS严重性评分中均被评为9.8（满分10分）。

这些漏洞影响AOS 10.6.x.x版本（包括10.6.0.2及之前版本）以及Instant AOS 8.12.x.x版本（8.12.0.1及更早版本）。HPE还警告说，已经停止支持的代码，包括AOS 10.5和10.3，以及Instant AOS-8.11及其之前的版本也受到影响，并建议升级这些系统以获得保护。

“通过启用cluster-security命令可以防止运行Instant AOS-8.x代码的设备被利用这些漏洞。”HPE在其安全警报中建议。“对于AOS-10设备来说，这不是一个选项，而应该从所有不受信任的网络中阻止对UDP端口8211的访问。”这不是PAPI今年首次被发现存在严重问题。早在五月份，Aruba就在公开的概念验证利用代码发布后修复了系统中的四个关键漏洞，并在不到一周后又发布了更多补丁。

这些补丁对于美国军方内的系统管理员尤为关切。早在2020年，Aruba就因成为五角大楼的首选供应商而取得重大胜利，当时军方与思科关系破裂并开始更换其设备。

HPE感谢Erik de Jong发现了这些漏洞，他是一名兼职漏洞研究员，日常工作是荷兰电信公司DELTA Fiber的安全官员。这些漏洞是通过Bugcrowd提交的，他表示自己的业余爱好帮助他还清了一部分房贷。

在发布时，HPE表示尚未发现有任何迹象表明这些问题已在野外被利用。然而，随着补丁的发布，鉴于问题的严重性，这种情况可能会发生变化。®