Aruba修复了Edge Connect Enterprise编排器中的关键漏洞

Aruba解决了EdgeConnect Enterprise编排器中存在的多个可被远程攻击者利用以危害易受攻击主机的严重漏洞。

  Aruba Edge Connect编排器是一个集中式的SD – WAN管理解决方案，允许企业控制其广域网。

以下是Aruba处理的漏洞：

  CVE – 2022 – 37913和CVE – 2022 – 37914 ( CVSS v3.1 – 9.8) Authentication绕过了Edge Connect编排器基于Web的管理界面中的漏洞。威胁参与者可以触发该问题以绕过身份验证。

Aruba Edge Connect Enterprise编排器基于Web的管理界面中的漏洞可能会使未经身份验证的远程攻击者绕过身份验证。成功利用这些漏洞可使攻击者获得管理权限，导致Aruba Edge Connect Enterprise编排器主机完全受损。

该公司还解决了Aruba Edge Connect Enterprise编排器基于Web的管理界面中未经认证的远程代码执行问题。该漏洞被追踪为CVE – 2022 – 37915，可利用该漏洞在底层主机上执行任意命令，导致系统完全受损。

该公司通过发布以下版本来解决这一问题：

·  Aruba Edgeconnect企业编排器9.2 . 0.40405及以上

·  Aruba Edgeconnect企业编排器9.1.3.40197及以上

·  Aruba Edgeconnect企业编排器9.0 . 7.40110及以上

·  Aruba Edgeconnect企业编排器8.10.23.40015及以上

  Aruba不会为 EoS 的版本发布更新。在本报告撰写之时，支持的版本有：

·  Aruba Edgeconnect企业编排器9.2.X

·  Aruba Edgeconnect企业编排器9.1.X

·  Aruba Edgeconnect企业编排器9.0 . X

·  Aruba Edgeconnect企业编排器8.10 . X

为了尽量减少利用上述漏洞的可能性，供应商建议将CLI和基于Web的管理接口限制在专用的第2层段/ VLAN和/或由第3层及以上的防火墙策略控制。