Aruba Networks corrige seis vulnerabilidades críticas en ArubaOS

Iniciado por Dragora, Marzo 02, 2023, 11:43:27 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 02, 2023, 11:43:27 AM

Aruba Networks publicó un aviso de seguridad para informar a los clientes sobre seis vulnerabilidades de gravedad crítica que afectan a múltiples versiones de ArubaOS, su sistema operativo de red patentado.

Las fallas afectan a Aruba Mobility Conductor, Aruba Mobility Controllers y Gateways WLAN y SD-WAN Gateways administrados por Aruba.

Aruba Networks es una subsidiaria con sede en California de Hewlett Packard Enterprise, especializada en redes informáticas y soluciones de conectividad inalámbrica.

Las fallas críticas abordadas por Aruba esta vez se pueden separar en dos categorías: fallas de inyección de comandos y problemas de desbordamiento de búfer basados en pila en el protocolo PAPI (protocolo de gestión de puntos de acceso de Aruba Networks).

Todas las fallas fueron descubiertas por el analista de seguridad Erik de Jong, quien las informó al proveedor a través del programa oficial de recompensas de errores.

Las vulnerabilidades de inyección de comandos se rastrean como CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 y CVE-2023-22750, con una clasificación CVSS v3 de 9.8 de 10.0.

Un atacante remoto no autenticado puede aprovecharlos enviando paquetes especialmente diseñados al PAPI a través del puerto UDP 8211, lo que resulta en la ejecución de código arbitrario como usuario privilegiado en ArubaOS.

Los errores de desbordamiento de búfer basados en pila se rastrean como CVE-2023-22751 y CVE-2023-22752, y también tienen una clasificación CVSS v3 de 9.8.

Estas fallas son explotables mediante el envío de paquetes especialmente diseñados al PAPI a través del puerto UDP 8211, lo que permite a los atacantes remotos no autenticados ejecutar código arbitrario como usuarios privilegiados en ArubaOS.

Las versiones afectadas son:

  • ArubaOS 8.6.0.19 y versiones anteriores
  • ArubaOS 8.10.0.4 y versiones anteriores
  • ArubaOS 10.3.1.0 y versiones anteriores
  • SD-WAN 8.7.0.0-2.3.0.8 y versiones anteriores

Las versiones de actualización de destino, según Aruba, deberían ser:


  • ArubaOS 8.10.0.5 y superior
  • ArubaOS 8.11.0.0 y superior
  • ArubaOS 10.3.1.1 y superior
  • SD-WAN 8.7.0.0-2.3.0.9 y superior

Desafortunadamente, varias versiones del producto que han llegado al final del ciclo de vida (EoL) también se ven afectadas por estas vulnerabilidades y no recibirán una actualización de reparación. Estos son:

  • ArubaOS 6.5.4.x
  • ArubaOS 8.7.x.x
  • ArubaOS 8.8.x.x
  • ArubaOS 8.9.x.x
  • SD-WAN 8.6.0.4-2.2.x.x

Una solución para los administradores de sistemas que no pueden aplicar las actualizaciones de seguridad o que utilizan dispositivos EoL es habilitar el modo "Seguridad PAPI mejorada" utilizando una clave no predeterminada.

Sin embargo, la aplicación de las mitigaciones no aborda otras 15 vulnerabilidades de gravedad alta y ocho de gravedad media enumeradas en el aviso de seguridad de Aruba, que están corregidas por las nuevas versiones.

Aruba afirma que no tiene conocimiento de ninguna discusión pública, código de explotación o explotación activa de estas vulnerabilidades a partir de la fecha de lanzamiento del aviso, 28 de febrero de 2022.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario