A Aruba Networks emitiu um comunicado de segurança para informar os clientes sobre seis vulnerabilidades de gravidade crítica que afetam várias versões do ArubaOS, seu sistema operacional de rede proprietário. As falhas afetam o Aruba Mobility Conductor, os Aruba Mobility Controllers e os gateways WLAN e SD-WAN gerenciados pela empresa.
A Aruba Networks é uma subsidiária da Hewlett Packard Enterprise (HPE) especializada em redes de computadores e soluções de conectividade sem fio.
As falhas críticas podem ser divididas em duas categorias: falhas de injeção de comando e problemas de estouro de buffer baseado em pilha no protocolo PAPI (protocolo de gerenciamento de ponto de acesso da Aruba Networks).
Todas as falhas foram descobertas pelo analista de segurança Erik de Jong, que as relatou à fornecedora por meio do programa oficial de recompensas de bugs.
As vulnerabilidades de injeção de comando foram rastreadas como CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 e CVE-2023-22750, com uma classificação no sistema de pontuação comum de vulnerabilidades (CVSS) de 9.8.
Um invasor remoto não autenticado pode aproveitá-los enviando pacotes especialmente criados para o PAPI pela porta UDP 8211, resultando na execução arbitrária de código como um usuário privilegiado no ArubaOS.
Os bugs de estouro de buffer baseados em pilha foram rastreados como CVE-2023-22751 e CVE-2023-22752 e também têm uma classificação CVSS v3 de 9.8. Essas falhas podem ser exploradas enviando pacotes especialmente criados para o PAPI pela porta UDP 8211, permitindo que invasores remotos não autenticados executem códigos arbitrários como usuários privilegiados no ArubaOS.
As versões afetadas são:
ArubaOS 8.6.0.19 e abaixo
ArubaOS 8.10.0.4 e abaixo
ArubaOS 10.3.1.0 e inferior
SD-WAN 8.7.0.0-2.3.0.8 e abaixo
As versões de atualização de destino, de acordo com a Aruba, devem ser:
ArubaOS 8.10.0.5 e superior
ArubaOS 8.11.0.0 e superior
ArubaOS 10.3.1.1 e superior
SD-WAN 8.7.0.0-2.3.0.9 e superior
Veja isso
Vulnerabilidade TLStorm atinge switches Aruba e Avaya
Unidade de rede Aruba da HPE é vítima de ciberataque
Infelizmente, várias versões de produtos que atingiram o fim da vida útil (EoL) também são afetadas por essas vulnerabilidades e não receberão uma atualização de correção. São elas:
ArubaOS 6.5.4.x
ArubaOS 8.7.x.x
ArubaOS 8.8.x.x
ArubaOS 8.9.x.x
SD-WAN 8.6.0.4-2.2.x.x
Uma solução alternativa para administradores de sistema que não podem aplicar as atualizações de segurança ou estão usando dispositivos EoL é habilitar o modo “Enhanced PAPI Security” usando uma chave não padrão. No entanto, a aplicação das mitigações não aborda outras 15 vulnerabilidades de alta gravidade e oito de média gravidade listadas no comunicado de segurança da Aruba, que são corrigidas pelas novas versões.
A Aruba afirma que não ter conhecimento de exploração ativa dessas vulnerabilidades até a data de lançamento do comunicado, que 28 de fevereiro de 2022.