HPE Aruba Networking ha publicado su aviso de seguridad de abril de 2024 en el que detalla vulnerabilidades críticas de ejecución remota de código (RCE) que afectan a varias versiones de ArubaOS, su sistema operativo de red propietario.
El aviso enumera diez vulnerabilidades, cuatro de las cuales son problemas críticos de desbordamiento de búfer no autenticado (CVSS v3.1: 9.8) que pueden conducir a la ejecución remota de código (RCE).
Los productos afectados por las nuevas vulnerabilidades son los siguientes:
- HPE Aruba Networking Mobility Conductor, controladores de movilidad, puertas de enlace WLAN y puertas de enlace SD-WAN gestionadas por Aruba Central.
- ArubaOS 10.5.1.0 y versiones inferiores, 10.4.1.0 y versiones anteriores, 8.11.2.1 y versiones inferiores, y 8.10.0.10 y versiones anteriores.
- Todas las versiones de ArubaOS y SD-WAN que hayan alcanzado EoL. Esto incluye las versiones de ArubaOS inferiores a 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4 y SD-WAN 2.3.0 a 8.7.0.0 y 2.2 a 8.6.0.4.
Las cuatro vulnerabilidades críticas de ejecución remota de código son las siguientes:
- CVE-2024-26305 – Defecto en el demonio ArubaOS Utility, permitiendo a un atacante no autenticado la ejecución remota de código arbitrario mediante el envío de paquetes crafteados al puerto UDP Aruba Access Point Management Protocol (PAPI) (8211).
- CVE-2024-26304 – Defecto en el servicio de gestión L2/L3, permitiendo la ejecución remota de código por un atacante no autenticado a través de paquetes crafteados enviados al puerto UDP PAPI.
- CVE-2024-33511 – Vulnerabilidad en el servicio de informes automáticos que puede ser explotada mediante el envío de paquetes manipulados al puerto de protocolo PAPI para permitir a atacantes no autenticados la ejecución remota de código arbitrario.
- CVE-2024-33512 – Fallo que permite a atacantes remotos no autenticados ejecutar código aprovechando un desbordamiento de búfer en el servicio Local User Authentication Database accesible a través del protocolo PAPI.
Para mitigar estas vulnerabilidades, el proveedor recomienda activar la seguridad PAPI mejorada y actualizar las versiones parcheadas de ArubaOS.
Las últimas versiones también parchean otras seis vulnerabilidades, todas de gravedad «media» (CVSS v3.1: 5.3 – 5.9), que podrían permitir a atacantes no autenticados crear una denegación de servicio en dispositivos vulnerables y causar costosas interrupciones operativas.
Las versiones de actualización de destino que corrigen las diez vulnerabilidades son las siguientes:
- ArubaOS 10.6.0.0 y posteriores
- ArubaOS 10.5.1.1 y posteriores
- ArubaOS 10.4.1.1 y posteriores
- ArubaOS 8.11.2.2 y posteriores
- ArubaOS 8.10.0.11 y posteriores
En este momento, HPE Aruba Networking no tiene conocimiento de ningún exploit activo o prueba de concepto (PoC) para las vulnerabilidades mencionadas.
No obstante, se recomienda a los administradores de sistemas que apliquen las actualizaciones de seguridad disponibles lo antes posible.