HPE Aruba Networking a publié son avis de sécurité d’avril 2024 détaillant les vulnérabilités critiques d’exécution de code à distance (RCE) affectant plusieurs versions d’ArubaOS, son système d’exploitation réseau propriétaire.

L’avis répertorie dix vulnérabilités, dont quatre sont des problèmes de dépassement de tampon non authentifiés de gravité critique (CVSS v3.1: 9.8) pouvant entraîner une exécution de code à distance (RCE).

Les produits impactés par les failles nouvellement divulguées sont:

  • Conducteur de mobilité HPE Aruba Networking, contrôleurs de mobilité, passerelles WLAN et passerelles SD-WAN gérés par Aruba Central.
  • ArubaOS 10.5.1.0 et versions antérieures, 10.4.1.0 et versions antérieures, 8.11.2.1 et versions antérieures et 8.10.0.10 et versions antérieures.
  • Toutes les versions d’ArubaOS et SD-WAN qui ont atteint la fin de vie. Cela inclut les ArubaOS ci-dessous 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4, et SD-WAN 2.3.0 à 8.7.0.0 et 2.2 à 8.6.0.4.

Les quatre failles critiques d’exécution de code à distance sont:

  • CVE-2024-26305 – Faille dans le démon utilitaire d’ArubaOS permettant à un attaquant non authentifié d’exécuter du code arbitraire à distance en envoyant des paquets spécialement conçus au port UDP PAPI (protocole de gestion des points d’accès d’Aruba) (8211).
  • CVE-2024-26304 – Faille dans le service de gestion L2 / L3, permettant l’exécution de code à distance non authentifiée via des paquets contrefaits envoyés au port UDP PAPI.
  • CVE-2024-33511 – Vulnérabilité dans le service de reporting automatique qui peut être exploitée en envoyant des paquets spécialement conçus au port du protocole PAPI pour permettre aux attaquants non authentifiés d’exécuter du code arbitraire à distance.
  • CVE-2024-33512 – Faille permettant à des attaquants distants non authentifiés d’exécuter du code en exploitant un dépassement de tampon dans le service de base de données d’authentification des utilisateurs locaux accessible via le protocole PAPI.

Pour atténuer les failles, le fournisseur recommande d’activer une sécurité PAPI améliorée et de passer à des versions corrigées pour ArubaOS.

Les dernières versions corrigent également six autres vulnérabilités, toutes de gravité « moyenne » (CVSS v3.1: 5.3 – 5.9), qui pourraient permettre à des attaquants non authentifiés de créer un déni de service sur des appareils vulnérables et de provoquer des perturbations opérationnelles coûteuses.

Les versions de mise à niveau cibles qui corrigent les dix défauts sont:

  • Aruba 10.6.0.0 et versions ultérieures
  • Aruba 10.5.1.1 et versions ultérieures
  • Aruba 10.4.1.1 et versions ultérieures
  • Aruba 8.11.2.2 et versions ultérieures
  • Aruba 8.10.0.11 et versions ultérieures

À l’heure actuelle, HPE Aruba Networking n’a connaissance d’aucun cas d’exploitation active ou de l’existence d’exploits de validation de principe (PoC) pour les vulnérabilités mentionnées.

Néanmoins, il est recommandé aux administrateurs système d’appliquer les mises à jour de sécurité disponibles dès que possible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *