HPE Aruba Networking ha publicado actualizaciones de seguridad para abordar fallas críticas en ArubaOS que podrían permitir a los atacantes ejecutar código de forma remota en sistemas afectados. Entre las diez vulnerabilidades identificadas, cuatro están clasificadas como críticas, todas con una puntuación CVSS de 9.8.
Las vulnerabilidades críticas identificadas son las siguientes:
- CVE-2024-26304: Desbordamiento de búfer no autenticado en el servicio de gestión L2/L3 accedido a través del protocolo PAPI.
- CVE-2024-26305: Desbordamiento de búfer no autenticado en el daemon de utilidades accedido a través del protocolo PAPI.
- CVE-2024-33511: Desbordamiento de búfer no autenticado en el servicio de informes automáticos accedido a través del protocolo PAPI.
- CVE-2024-33512: Desbordamiento de búfer no autenticado en la base de datos de autenticación de usuarios locales accedida a través del protocolo PAPI.
Un actor malicioso podría explotar estas vulnerabilidades enviando paquetes especialmente diseñados al puerto UDP de PAPI (8211), ganando así la capacidad de ejecutar código arbitrario como un usuario privilegiado en el sistema operativo subyacente.
Impacto en Diferentes Versiones de Software
Estas vulnerabilidades afectan a los siguientes dispositivos:
- Mobility Conductor (anteriormente conocido como Mobility Master),
- Mobility Controllers,
- WLAN Gateways,
- SD-WAN Gateways gestionados por Aruba Central.
Además, las siguientes versiones de software están afectadas:
- ArubaOS 10.5.1.0 y versiones anteriores
- ArubaOS 10.4.1.0 y versiones anteriores
- ArubaOS 8.11.2.1 y versiones anteriores
- ArubaOS 8.10.0.10 y versiones anteriores
También se encuentran afectadas las versiones de ArubaOS y SD-WAN que han alcanzado el estado de fin de mantenimiento:
- ArubaOS 10.3.x.x
- ArubaOS 8.9.x.x
- ArubaOS 8.8.x.x
- ArubaOS 8.7.x.x
- ArubaOS 8.6.x.x
- ArubaOS 6.5.4.x
- SD-WAN 8.7.0.0-2.3.0.x
- SD-WAN 8.6.0.4-2.2.x.x
Medidas de Mitigación y Recomendaciones
Los usuarios afectados deben aplicar las últimas actualizaciones para mitigar posibles amenazas. Como medidas temporales para ArubaOS 8.x, HPE Aruba recomienda habilitar la función de seguridad mejorada de PAPI utilizando una clave no predeterminada.
Los clientes y administradores de sistemas que utilicen dispositivos HPE Aruba deben revisar sus infraestructuras y aplicar las actualizaciones correspondientes de inmediato para evitar posibles ataques y proteger sus sistemas contra estas vulnerabilidades críticas.
