日本語フォーラム

 View Only
last person joined: yesterday 

HPE Aruba Networking のソリューション、ネットワークマーケットに関する日本語ディスカッションフォーラム
Expand all | Collapse all

Advisory ID: HPESBNW04662(CVE: CVE-2024-3596) の回避策について

This thread has been viewed 9 times
  • 1.  Advisory ID: HPESBNW04662(CVE: CVE-2024-3596) の回避策について

    Posted Jul 25, 2024 01:44 PM

    以下のアドバイザリーについて確認させてください。
    https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04662en_us&docLocale=en_US

    ユーザー環境において以下の回避策が適用可能かどうか確認したく存じます。
    =====
    Workaround

    Network Operators who rely on the RADIUS protocol for device and/or user authentication should update their software and configuration to a secure form of the protocol for both clients and servers. Where available, using EAP-TLS (assuming Message-Authenticator is properly configured on the RADIUS server) or RadSec will mitigate the vulnerability. This work around applies to all products.

    In instances where product upgrades are not available,network isolation and secure VPN tunnel communications shouldbe enforced for the RADIUS protocol to restrict access to thesenetwork resources from untrusted sources.

    For assistance in implementing EAP-TLS or RadSec on individual products contact HPE Services – Aruba Networking for assistance.Workaround

    Network Operators who rely on the RADIUS protocol for device and/or user authentication should update their software and configuration to a secure form of the protocol for both clients and servers. Where available, using EAP-TLS (assuming Message-Authenticator is properly configured on the RADIUS server) or RadSec will mitigate the vulnerability. This work around applies to all products.

    In instances where product upgrades are not available,network isolation and secure VPN tunnel communications shouldbe enforced for the RADIUS protocol to restrict access to thesenetwork resources from untrusted sources.

    For assistance in implementing EAP-TLS or RadSec on individual products contact HPE Services – Aruba Networking for assistance.
    =====

    ユーザー環境ではL3認証のCaptive Portal認証が実装されております。
    以下よりCaptive Portal認証にて指定できるプロトコルはPAP、CHAP、MS-CHAPv2となるかと存じます。
    この場合、脆弱性の影響を受けるが回避策は適用できず、恒久対策のアップグレードのみが対処方法、
    ということになりますでしょうか?

    Configuring Captive Portal Authentication Profiles
    https://www.arubanetworks.com/techdocs/ArubaOS_8.10.0_Web_Help/Content/arubaos-solutions/captive-portal/capt-port-auth-prof.htm

    ------------------------

    Authentication Protocol
    Select the PAP, CHAP or MS-CHAPv2 authentication protocol.
    NOTE: Do not use the CHAP = option unless instructed to do so by anAruba representative.

    ------------------------

    Status: Investigating
    となっており、引き続き調査中のステータスと存じますので可能な範囲でご確認いただけますと幸いです。



  • 2.  RE: Advisory ID: HPESBNW04662(CVE: CVE-2024-3596) の回避策について

    EMPLOYEE
    Posted Jul 25, 2024 06:43 PM

    お問い合わせありがとうございます。

    RadSecでRADIUS通信を暗号化することで回避策になります。
    RadSecが困難な場合はResolutionにあるバージョンにアップグレード頂き、RADIUS属性のMessage-Authenticator を有効にしてご利用ください。



    ------------------------------
    Keita Shimono,
    Aruba Japan SE Manager & Airheads Leader
    ------------------------------



  • 3.  RE: Advisory ID: HPESBNW04662(CVE: CVE-2024-3596) の回避策について

    Posted Jul 26, 2024 01:55 AM

    早速のご回答ありがとうございます。

    RadSecでの暗号化が回避策となり、恒久対処はバージョンアップ後にRADIUS属性のMessage-Authenticatorを有効化する
    とのことで承知いたしました。
    RadSecですが、以下等拝見しCLIからのみ設定可能という理解でおりますが合っておりますでしょうか。
    実機でも確認してみましたがWebUIから設定可能な項目は見当たりませんでした。

    https://www.arubanetworks.com/techdocs/ArubaOS_8.11.0_Web_Help/Content/arubaos-solutions/auth-servers/enab-rads-radi-serv.htm

    https://www.arubanetworks.com/techdocs/CLI-Bank/Content/aos8/aaa-authsrv-rdus.htm