Se publicaron múltiples vulnerabilidades en ArubaOS, por lo que se ha lanzado actualizaciones de seguridad para abordar estas fallas, de las cuales 8 son catalogadas con severidad crítica.
Las vulnerabilidades identificadas como CVE-2023-22779, CVE-2023-22780, CVE-2023-22781, CVE-2023-22782, CVE-2023-22783, CVE-2023-22784, CVE-2023-22785 y CVE- 2023-22786 comparten un puntaje CVSS de 9.8.
Estas vulnerabilidades mencionadas son una falla de desbordamiento de búfer en varios servicios subyacentes, podrían conducir a la ejecución remota de código no autenticado mediante el envío de paquetes especialmente diseñados y destinados al PAPI (protocolo de administración de punto de acceso de Aruba) y protocolo UDP puerto (8211).
La explotación exitosa de estas vulnerabilidades da como resultado la capacidad de ejecutar código arbitrario como usuario privilegiado en el sistema operativo subyacente.
Solución alternativa
Habilitar “cluster-security”, este comando evitará que se exploten las vulnerabilidades en los dispositivos Aruba InstantOS que ejecutan el código 8.x o 6.x. Para los dispositivos ArubaOS 10, esta no es una opción y, en su lugar, se debe bloquear el acceso al puerto UDP/8211 desde todas las redes que no sean de confianza.
Otra vulnerabilidad identificada como CVE-2023-22787 y con un puntaje CVSS de 7.5, es una falla de denegación de servicio no autenticada (DoS) que existe en un servicio al que se accede a través del protocolo PAPI proporcionado por Aruba InstantOS y ArubaOS 10.
La explotación exitosa de esta vulnerabilidad da como resultado la capacidad de interrumpir el funcionamiento normal del punto de acceso afectado.
Solución alternativa
El acceso al puerto UDP/8211 debe bloquearse desde todas las redes que no sean de confianza.
Las vulnerabilidades identificadas como CVE-2023-22788, CVE-2023-22789, CVE-2023-22790 comparten un puntaje CVSS de 7.2. Estas vulnerabilidades mencionadas son una falla de inyección de comandos autenticados en la interfaz de línea de comandos de Aruba InstantOS y ArubaOS 10.
La explotación exitosa de estas vulnerabilidades da como resultado la capacidad de ejecutar comandos arbitrarios como un usuario privilegiado en el sistema operativo subyacente.
La última vulnerabilidad identificada como CVE-2023-22791 y un puntaje CVSS de 5.4 es una falla en Aruba InstantOS y ArubaOS 10 donde una combinación extrema de configuración de red, un entorno de WLAN específico y un atacante que ya posee credenciales de usuario válidas en esa WLAN puede dar lugar a que se divulgue información confidencial a través de la WLAN.
Productos afectados
Aruba Access Points que ejecutan InstantOS y ArubaOS 10
Versiones de software afectadas:
- ArubaOS 10.3.x: 10.3.1.0 y anteriores
- Aruba InstantOS 8.10.x: 8.10 .0.4 y anteriores
- Aruba InstantOS 8.6.x: 8.6.0.19 y anteriores
- Aruba InstantOS 6.5.x: 6.5.4.23 y anteriores
- Aruba InstantOS 6.4.x: 6.4.4.8-4.2.4.20 y anteriores
Las siguientes versiones de software de InstantOS que están al final de su vida útil se ven afectados por estas vulnerabilidades y no están parcheados.
- InstantOS 8.9.x: todos
- InstantOS 8.8.x: todos
- InstantOS 8.7.x: todos
- InstantOS 8.5.x: todos
- InstantOS 8.4.x: todos
Solución
Para parchear completamente las vulnerabilidades de PAPI mencionadas anteriormente, los clientes deben actualizar a las siguientes versiones:
- ArubaOS 10.4.x: 10.4.0.0 y superior
- Aruba InstantOS 8.11.x: 8.11.0.0 y superior
- Aruba InstantOS 8.10.x: 8.10.0.3 y superior
Todas las demás vulnerabilidades, excepto las vulnerabilidades de desbordamiento de búfer PAPI, se solucionan actualizando a lo siguiente versiones:
- ArubaOS 10.4.x: 10.4.0.0 y superiores
- ArubaOS 10.3.x: 10.3.1.1 y superiores
- Aruba InstantOS 8.10.x: 8.10.0.5 y superiores
- Aruba InstantOS 8.6.x: 8.6.0.20 y superiores
- Aruba InstantOS 6.5.x: 6.5.4.24 y superiores
- Aruba InstantOS 6.4.x: 6.4.4.8 – 4.2.4.21 y superiores
Recomendaciones
- Implementar las actualizaciones de seguridad lo antes posible para protegerse de las vulnerabilidades mencionadas.
Referencias