Hewlett Packard Enterprise (HPE) a publié des mises à jour pour les logiciels instantanés IOS-8 et OS-10 afin de corriger deux vulnérabilités critiques dans les points d’accès réseau Aruba.
Les deux problèmes de sécurité pourraient permettre à un attaquant distant d’effectuer une injection de commande non authentifiée en envoyant des paquets spécialement conçus au protocole PAPI (Access Point Management protocol) d’Aruba via le port UDP 8211.
Les failles critiques sont suivies comme CVE-2024-42509 et CVE-2024-47460, et ont été évaluées avec un score de gravité de 9,8 et 9,0, respectivement. Les deux sont dans le service d’interface de ligne de commande (CLI), auquel on accède via le protocole PAPI.
La mise à jour corrige également quatre autres vulnérabilités de sécurité:
- CVE-2024-47461 (score de gravité 7.2): exécution de commandes à distance authentifiée qui pourrait permettre à un attaquant d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent
- CVE-2024-47462 et CVE-2024-47463 (score de gravité 7.2): un attaquant authentifié pourrait créer des fichiers arbitraires, conduisant potentiellement à l’exécution de commandes à distance
- CVE-2024-47464 (score de gravité de 6,8): un attaquant authentifié exploitant l’informatique pourrait accéder à des fichiers non autorisés via la traversée de chemin
Les six vulnérabilités ont un impact sur AOS-10.4.x. x: versions 10.4.1.4 et antérieures, AOS instantané-8.12.x. x: 8.12.0.2 et versions antérieures, et AOS instantané-8.10.x. x: 8.10.0.13 et versions antérieures.
HPE note dans l’avis de sécurité que plusieurs autres versions du logiciel qui ont atteint leur date de fin de maintenance sont également affectées par ces failles, il n’y aura pas de mises à jour de sécurité pour elles.
Correctifs et solutions de contournement
Pour remédier aux vulnérabilités des points d’accès réseau Aruba, HPE recommande aux utilisateurs de mettre à jour leurs appareils vers les versions logicielles suivantes ou plus récentes:
- À partir de-10,7.x. x: Mise à jour vers la version 10.7.0.0 et versions ultérieures.
- OS-10,4.x. x: Mise à jour vers la version 10.4.1.5 ou ultérieure.
- AOS instantané-8.12.x. x: Mise à jour vers la version 8.12.0.3 ou plus récente.
- AOS instantané-8.10.x. x: Mise à jour vers la version 8.10.0.14 ou supérieure
HPE a également fourni des solutions de contournement pour les six failles afin d’aider dans les cas où les mises à jour logicielles ne peuvent pas être immédiatement installées:
Pour les deux failles critiques, la solution de contournement proposée consiste à restreindre/bloquer l’accès au port UDP 8211 à partir de tous les réseaux non approuvés.
Pour le reste des problèmes, le fournisseur recommande de restreindre l’accès à l’interface de ligne de commande et aux interfaces de gestion Web en les plaçant sur un segment ou VLAN de couche 2 dédié, et de contrôler l’accès avec des stratégies de pare-feu au niveau de la couche 3 et au-dessus, ce qui limiterait l’exposition potentielle.
Aucune exploitation active des failles n’a été observée, mais l’application des mises à jour de sécurité et/ou des atténuations est une recommandation forte.