HPE Aruba ประกาศ Security Advisories สำคัญ 3 รายการ สำหรับให้คำแนะนำเพื่ออุดช่องโหว่ทั้งหมด 26 รายการที่ทางบริษัทระบุว่าจำเป็นต้องรีบจัดการ “โดยด่วน” ซึ่งช่องโหว่เหล่านี้ถูกค้นพบบน ArubaOS PAPI, Aruba Instant และ AirWave Management Platform
ArubaOS PAPI
ช่องโหว่ที่ค้นพบบน ArubaOS PAPI management API ชี้ให้เห็นชัดเจนว่า PAPI ไม่ใช่โปรโตคอลที่มีความมั่นคงปลอดภัย ซึ่งก่อนหน้านี้ HPE Aruba ได้เคยกล่าวถึงปัญหาของ PAPI มาแล้ว แต่ช่องโหว่ที่ค้นพบกลับลงลึกไปกว่านั้น เช่น
- MD5 Message Digest ไม่ได้ถูกยืนยันอย่างเหมาะสมจากฝั่งรับ
- โปรโตคอลการเข้ารหัส PAPI ไม่แข็งแกร่งเพียงพอ
- อุปกรณ์ HPE Aruba ทุกชนิดใช้ Static Key ทั่วไปในการยืนยันข้อความ
HPE Aruba ระบุว่า ลูกค้าทุกคนควรอ่านวิธีแก้ไขปัญหาและเพิ่มความมั่นคงปลอดภัยให้แก่ PAPI บน Control Plane Security Best Practices ซึ่งดูได้จากเว็บ Aruba Support
รายละเอียดเพิ่มเติม: http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-006.txt
Aruba Instant
ช่องโหว่ทั้งหมดของ Aruba Instant ได้รับรหัส CVE-2016-2031 ซึ่งอุดช่องโหว่ได้โดยการอัพเดทเฟิร์มแวร์ของ IAP ไปเป็นเวอร์ชัน 4.3.2.1 หรือ 4.1.3.0 (ขึ้นอยู่กับว่า IAP รันเวอร์ชันไหนอยู่) โดยแพทช์ดังกล่าวช่วยแก้ไขบั๊คหลายประการ ได้แก่
- การรับส่งข้อมูลล็อกอินที่ไม่ปลอดภัย (ใช้ HTTP GET)
- ปัญหาเรื่อง Static Password บน Support Mode ซึ่งทาง HPE Aruba มองว่าไม่เป็นช่องโหว่ แต่ก็ได้มีการแก้ไขโดยเพิ่มการทำ Challenge-Reponse เข้าไป
- ช่องโหว่ Remote Code Execution
- การรั่วไหลของข้อมูลและบั๊คบนการอัพเดทเฟิร์มแวร์
- ปัญหาเรื่อง Certificate ที่มีการ Hard Code กุญแจสำหรับเข้ารหัสลงไป
- ปัญหาเรื่อง Static Key ที่ใช้เข้ารหัสรหัสผ่านของผู้ใช้
รายละเอียดเพิ่มเติม: http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-004.txt
AirWave Management Platform
เวอร์ชันที่ได้รับผลกระทบคือ 8.x ก่อนหน้าเวอร์ชัน 8.2 ซึ่งช่องโหว่บน AirWave ได้รับรหัส CVE-2016-2032 ประกอบด้วย
- อินเทอร์เฟสสำหรับบริหารจัดการ RabbitMQ ถูกเปิดเผย
- XSRF Token ถูกสร้างไม่แข็งแรงเพียงพอ
- สามารถเข้าถึง NTP Configuration File เพื่อแก้ไขการตั้งเวลาได้
HPE ระบุว่า ผู้ดูแลระบบ AirWave ควรอัพเดทซอฟต์แวร์ไปเป็นเวอร์ชัน 8.2 เพื่ออุดช่องโหว่ดังกล่าว
รายละเอียดเพิ่มเติม: http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-005.txt
ที่มา: http://www.theregister.co.uk/2016/05/09/aruba_aruba_patch_now_patch_fast/