HPE Aruba Networking a corrigé trois vulnérabilités critiques dans le service d’interface de ligne de commande (CLI) de ses points d’accès Aruba, qui pourraient permettre à des attaquants non authentifiés d’obtenir l’exécution de code à distance sur des appareils vulnérables.
Les vulnérabilités (CVE-2024-42505, CVE-2024-42506 et CVE-2024-42507) peuvent être exploitées en envoyant des paquets spécialement conçus au port UDP PAPI (protocole de gestion des points d’accès d’Aruba) (8211) pour obtenir un accès privilégié pour exécuter du code arbitraire sur des périphériques vulnérables.
La filiale Hewlett Packard Enterprise (HPE) (anciennement connue sous le nom d’Aruba Networks) a confirmé dans un avis de sécurité publié plus tôt cette semaine que les failles de sécurité affectaient les points d’accès Aruba exécutant Instant AOS-8 et AOS-10.
Les vulnérabilités ont été signalées par le chercheur en sécurité Erik De Jong via le programme de primes aux bogues de l’entreprise, et les versions logicielles concernées incluent:
- OS-10,6.x. x: 10.6.0.2 et versions antérieures
- OS-10,4.x. x: 10.4.1.3 et versions antérieures
- AOS instantané-8.12.x. x: 8.12.0.1 et versions antérieures
- AOS instantané-8.10.x. x: 8.10.0.13 et versions antérieures
La société a exhorté les administrateurs à installer les dernières mises à jour de sécurité (disponibles sur le portail de support réseau HPE) sur les points d’accès vulnérables afin de prévenir les attaques potentielles.
Solution de contournement disponible, pas d’exploitation active
Comme solution de contournement temporaire pour les appareils exécutant Instant AOS-8.code x, les administrateurs peuvent activer « cluster-security » pour bloquer les tentatives d’exploitation. Pour les périphériques AOS-10, la société conseille de bloquer l’accès au port UDP/8211 de tous les réseaux non approuvés.
HPE Aruba Networking a également confirmé que les autres produits Aruba, y compris les Conducteurs de mobilité réseau, les contrôleurs de mobilité et les passerelles SD-WAN, ne sont pas affectés.
Selon l’équipe de réponse à la sécurité des produits HPE, aucun code d’exploitation public n’est disponible et aucune attaque ciblant les trois vulnérabilités critiques n’a été signalée.
Plus tôt cette année, la société a également corrigé quatre vulnérabilités critiques de RCE affectant plusieurs versions d’ArubaOS, son système d’exploitation réseau propriétaire.
En février, Hewlett Packard Enterprise (HPE) a déclaré qu’elle enquêtait sur une violation potentielle après qu’un acteur de la menace a publié des informations d’identification et d’autres informations sensibles (prétendument volées à HPE) à vendre sur un forum de piratage.
Deux semaines plus tôt, il a signalé que son environnement de messagerie Microsoft Office 365 avait été piraté en mai 2023 par des pirates informatiques soupçonnés de faire partie du groupe de menaces APT29 lié au Service de renseignement extérieur russe (SVR).