Aruba Networks a publié un avis de sécurité pour informer les clients de six vulnérabilités de gravité critique affectant plusieurs versions d’ArubaOS, son système d’exploitation réseau propriétaire.

Les failles affectent Aruba Mobility Conductor, les contrôleurs de mobilité Aruba et les passerelles WLAN et SD-WAN gérées par Aruba.

Aruba Networks est une filiale californienne de Hewlett Packard Enterprise, spécialisée dans les réseaux informatiques et les solutions de connectivité sans fil.

Les failles critiques traitées par Aruba cette fois peuvent être séparées en deux catégories : les failles d’injection de commande et les problèmes de débordement de tampon basés sur la pile dans le protocole PAPI (protocole de gestion des points d’accès d’Aruba Networks).

Toutes les failles ont été découvertes par l’analyste en sécurité Erik de Jong, qui les a signalées au fournisseur via le programme officiel de primes de bogues.

Les vulnérabilités d’injection de commande sont suivies comme CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 et CVE-2023-22750, avec une note CVSS v3 de 9,8 sur 10,0.

Un attaquant distant non authentifié peut les exploiter en envoyant des paquets spécialement conçus au PAPI via le port UDP 8211, ce qui entraîne l’exécution de code arbitraire en tant qu’utilisateur privilégié sur ArubaOS.

Les bogues de dépassement de mémoire tampon basés sur la pile sont suivis en tant que CVE-2023-22751 et CVE-2023-22752, et ont également une cote CVSS v3 de 9,8.

Ces failles sont exploitables en envoyant des paquets spécialement conçus au PAPI via le port UDP 8211, permettant à des attaquants distants non authentifiés d’exécuter du code arbitraire en tant qu’utilisateurs privilégiés sur ArubaOS.

Les versions impactées sont :

  • ArubaOS 8.6.0.19 et versions antérieures
  • ArubaOS 8.10.0.4 et versions antérieures
  • ArubaOS 10.3.1.0 et versions antérieures
  • SD-WAN 8.7.0.0-2.3.0.8 et versions antérieures

Les versions de mise à niveau cibles, selon Aruba, devraient être :

  • ArubaOS 8.10.0.5 et supérieur
  • ArubaOS 8.11.0.0 et supérieur
  • ArubaOS 10.3.1.1 et supérieur
  • SD-WAN 8.7.0.0-2.3.0.9 et versions ultérieures

Malheureusement, plusieurs versions de produits qui ont atteint la fin de vie (EoL) sont également affectées par ces vulnérabilités et ne recevront pas de mise à jour de correction. Ceux-ci sont:

  • ArubaOS 6.5.4.x
  • ArubaOS 8.7.x.x
  • ArubaOS 8.8.x.x
  • ArubaOS 8.9.x.x
  • SD-WAN 8.6.0.4-2.2.x.x

Une solution de contournement pour les administrateurs système qui ne peuvent pas appliquer les mises à jour de sécurité ou qui utilisent des appareils EoL consiste à activer le mode « Sécurité PAPI améliorée » à l’aide d’une clé autre que celle par défaut.

Cependant, l’application des mesures d’atténuation ne résout pas les 15 autres vulnérabilités de gravité élevée et huit de gravité moyenne répertoriées dans l’avis de sécurité d’Aruba, qui sont corrigées par les nouvelles versions.

Aruba déclare n’être au courant d’aucune discussion publique, code d’exploitation ou exploitation active de ces vulnérabilités à la date de publication de l’avis, le 28 février 2022.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *