Ağ endüstrisinin iki büyük oyuncusu Cisco ve Aruba Networks , ürünlerinde bulunan arbitrary code execution ve denial-of-service (DoS) saldırılarına neden olabilecek kritik güvenlik açıklarını kapatmak için kısa süre önce bir güncelleme yayınladı.
Cisco'nun 6800, 7800, 7900 ve 8800 modellerini içeren IP Telefon Serisi ürünlerinde, kimliği doğrulanmamış bir saldırganın zafiyetin bulunduğu cihazların işletim sisteminde yüksek ayrıcalıklarla rastgele kod yürütmesine izin verebilecek kritik bir güvenlik açığının (CVE-2023-20078, CVSS 9.8) bulunduğu tespit edildi. Güvenlik açığı, web-based management arayüzünde kullanıcı tarafından sağlanan girdilerin doğrulanamamasından kaynaklanmaktadır.
Ek olarak Cisco, aynı cihaz setinde ve diğer iki modelde (Unified IP Conference Phone 8831 ve Unified IP Phone 7900 Series) başka bir yüksek seviyeli DoS güvenlik açığı (CVE-2023-20079, CVSS 7.5) buldu. Bu güvenlik açığı da web tabanlı yönetim arayüzünde kullanıcı tarafından sağlanan girdilerin yetersiz doğrulanması nedeniyle ortaya çıkmaktadır. Başarılı bir saldırı, cihazın kullanılabilirliğini etkileyebilecek bir DoS sorununa neden olabilir.
Cisco, CVE-2023-20078 güvenlik açığı için Cisco Multiplatform Firmware sürüm 11.3.7SR1 şeklinde bir güncelleme yayınladı. Ancak, iki Unified IP Konferans Telefonu modeli kullanım ömrünün sonuna ulaştığından dolayı şirket, CVE-2023-20079 olarak takip edilen güvenlik açığını kapatmak için herhangi bir planlarının bulunmadığını açıkladı.
Benzer şekilde Hewlett Packard Enterprise'ın bir yan kuruluşu olan Aruba Networks, command injection ve stack-based buffer overflow saldırılarına neden olabilecek kritik güvenlik açıklarını (CVE-2023-22747, CVE-2023-22748, CVE-2023-22749, CVE-2023-22750, CVE-2023-22751 ve CVE-2023-22752) kapatmak için bir güncelleme yayınladı. Bu güvenlik açıkları CVSS puanlama sisteminde 10 üzerinden 9.8 olarak derecelendirildi.
Güvenlik açıklarının etkilediği versiyonlar:
Güncel versiyonlar:
Güvenlik açıkları, ArubaOS 6.5.4.x, ArubaOS 8.7.x.x, ArubaOS 8.8.x.x, ArubaOS 8.9.x.x ve SD-WAN 8.6.0.4-2.2.x.x gibi kullanım ömrü sona ermiş ürünler de dahil olmak üzere ArubaOS'un çeşitli sürümlerini etkilemektedir ve bu ürünler zafiyeti kapatmak için güncelleme almayacaktır. Bu cihazları kullanan sistem yöneticilerine, önlem olarak varsayılan olmayan bir anahtar kullanarak "Gelişmiş PAPI Güvenliği" modunu etkinleştirmeleri tavsiye ediliyor.
Hem Cisco hem de Aruba Networks, zafiyetleri hedef alan herhangi bir istismar girişimini henüz bildirmemiştir. Müşterilere istismar risklerini en aza indirmek için mevcut güvenlik güncellemelerini ve geçici çözümleri mümkün olan en kısa sürede uygulamalarını şiddetle tavsiye etmektedirler.