Laburpen exekutiboa
Bi kalteberatasun identifikatu dira, sareko azpiegituren eta sistema eragileen segurtasuna arriskuan jar dezaketenak. Lehenik eta behin, DHCP protokoloak ahultasun berezko bat du mezuak autentifikatzen ez dituelako, eta horrek erasotzaile bati aukera ematen dio VPN trafikoa birbideratzeko eta datu sentikorrak atzitzeko edo aldatzeko arriskua ekar dezake. Honek IP bidezko bideraketan oinarritutako VPN sistema asko ukitzen ditu. Bigarrenik, HPE Aruba Networking Virtual Intranet Access (VIA) bezeroan aurkitutako kalteberatasun batek ausazko fitxategiak gainidazteko aukera ematen du, eta horrek Denegazio Zerbitzuaren (DoS) egoera bat sor dezake Microsoft Windows sistema eragileetan. Bi kalteberatasunek arrisku handiak dakartzate datuen eta sistema ukituen konfidentzialtasunerako, osotasunerako eta erabilgarritasunerako.
Eragindako baliabideak
- HPE Aruba Networking Virtual Intranet Access (VIA) Client for Microsoft Windows
- HPE Aruba Networking Virtual Intranet Access (VIA) Client for Linux
- HPE Aruba Networking Virtual Intranet Access (VIA) Client for MacOS
- HPE Aruba Networking Virtual Intranet Access (VIA) Client for iOS
Azterketa teknikoa
- CVE-2025-25041: HPE Aruba Networking Virtual Intranet Access (VIA) bezeroan kalteberritasun bat existitzen da, erasotzaile gaiztoek fitxategi arbitrarioak gainditzeko aukera ematen diona NT AUTHORITY\SYSTEM (root) bezala. Ustiapen arrakastatsu batek Microsoft Windows sistema eragilean Zerbitzuaren Ukatze (DoS) egoera bat sortzea ahalbidetu dezake. Kalteberritasun honek Linux eta Android oinarritutako bezeroei eragiten ez dietela jakinarazi da.
- CWE - N/A
- CVSS: 5.5
- CVSS Vektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
- Ustiapena: Ez da detektatu
- CVE-2024-3661: Diseinuagatik, DHCP protokoloak ez ditu mezuak autentikatzen, adibidez, klase gabeko bideratze aukerak (121). DHCP mezuak bidaltzeko gaitasuna duen erasotzaile batek bideak manipulatu ditzake VPN trafikoa birbideratzeko, eta horrek babestuta egon behar zuen sare trafikoa irakurtzea, eten edo aldatu ahal izatea ekar dezake. IP bideratzean oinarritutako VPN sistema askok, gehienek, erasotze mota honetara erreakzionatzen dute.
- CWE-306
- CVSS: 7.6
- CVSS Vektorea: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L
- Ustiapena: Ez da detektatu
Arintzea/Konponbidea
HPE-k gomendatzen du HPE Aruba Networking Virtual Intranet Access (VIA) bezeroak 4.7.2 bertsiora edo goragoko batera eguneratzea deskribatutako kalteberritasunak arintzeko. Eragindako bertsioek Linux, MacOS, iOS eta Microsoft Windows bezeroak barne hartzen dituzte. Android oinarritutako bezeroek ez dutela eragindakoa jakinarazi da. HPE Aruba Networking-ek ez ditu mantentze-amaiera (EoM) iritsi diren bertsioetarako patch-ak eskaintzen.