HPE Aruba Networking corrige cuatro vulnerabilidades RCE críticas en ArubaOS

HPE Aruba Networking ha publicado su aviso de seguridad de abril de 2024 en el que detalla vulnerabilidades críticas de ejecución remota de código (RCE) que afectan a varias versiones de ArubaOS, su sistema operativo de red propietario.

El aviso enumera diez vulnerabilidades, cuatro de las cuales son problemas críticos de desbordamiento de búfer no autenticado (CVSS v3.1: 9.8) que pueden conducir a la ejecución remota de código (RCE).

Los productos afectados por las nuevas vulnerabilidades son los siguientes:

  • HPE Aruba Networking Mobility Conductor, controladores de movilidad, puertas de enlace WLAN y puertas de enlace SD-WAN gestionadas por Aruba Central.
  • ArubaOS 10.5.1.0 y versiones inferiores, 10.4.1.0 y versiones anteriores, 8.11.2.1 y versiones inferiores, y 8.10.0.10 y versiones anteriores.
  • Todas las versiones de ArubaOS y SD-WAN que hayan alcanzado EoL. Esto incluye las versiones de ArubaOS inferiores a 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4 y SD-WAN 2.3.0 a 8.7.0.0 y 2.2 a 8.6.0.4.

Las cuatro vulnerabilidades críticas de ejecución remota de código son las siguientes:

  • CVE-2024-26305 – Defecto en el demonio ArubaOS Utility, permitiendo a un atacante no autenticado la ejecución remota de código arbitrario mediante el envío de paquetes crafteados al puerto UDP Aruba Access Point Management Protocol (PAPI) (8211).
  • CVE-2024-26304 – Defecto en el servicio de gestión L2/L3, permitiendo la ejecución remota de código por un atacante no autenticado a través de paquetes crafteados enviados al puerto UDP PAPI.
  • CVE-2024-33511 – Vulnerabilidad en el servicio de informes automáticos que puede ser explotada mediante el envío de paquetes manipulados al puerto de protocolo PAPI para permitir a atacantes no autenticados la ejecución remota de código arbitrario.
  • CVE-2024-33512 – Fallo que permite a atacantes remotos no autenticados ejecutar código aprovechando un desbordamiento de búfer en el servicio Local User Authentication Database accesible a través del protocolo PAPI.

Para mitigar estas vulnerabilidades, el proveedor recomienda activar la seguridad PAPI mejorada y actualizar las versiones parcheadas de ArubaOS.

Las últimas versiones también parchean otras seis vulnerabilidades, todas de gravedad «media» (CVSS v3.1: 5.3 – 5.9), que podrían permitir a atacantes no autenticados crear una denegación de servicio en dispositivos vulnerables y causar costosas interrupciones operativas.

Las versiones de actualización de destino que corrigen las diez vulnerabilidades son las siguientes:

  • ArubaOS 10.6.0.0 y posteriores
  • ArubaOS 10.5.1.1 y posteriores
  • ArubaOS 10.4.1.1 y posteriores
  • ArubaOS 8.11.2.2 y posteriores
  • ArubaOS 8.10.0.11 y posteriores

En este momento, HPE Aruba Networking no tiene conocimiento de ningún exploit activo o prueba de concepto (PoC) para las vulnerabilidades mencionadas.

No obstante, se recomienda a los administradores de sistemas que apliquen las actualizaciones de seguridad disponibles lo antes posible.