A HPE Aruba Networking divulgou seu boletim de segurança de abril de 2024, detalhando vulnerabilidades críticas de execução remota de código (Remote Code Execution - RCE) que afetam múltiplas versões do ArubaOS, seu sistema operacional de rede proprietário.
O boletim lista dez vulnerabilidades, quatro das quais são problemas de estouro de buffer não autenticados de severidade crítica (CVSS v3.1: 9.8) que podem levar a execução remota de código (RCE).
Produtos impactados pelas falhas recém-divulgadas são:
HPE Aruba Networking Mobility Conductor, Mobility Controllers, WLAN Gateways e SD-WAN Gateways gerenciados pelo Aruba Central.
ArubaOS 10.5.1.0 e abaixo, 10.4.1.0 e anteriores, 8.11.2.1 e abaixo, e 8.10.0.10 e anteriores.
Todas as versões de ArubaOS e SD-WAN que alcançaram EoL (End of Life).
Isso inclui ArubaOS abaixo de 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4 e SD-WAN de 2.3.0 até 8.7.0.0 e de 2.2 até 8.6.0.4.
As quatro falhas críticas de execução de código remoto são:
CVE-2024-26305
– Falha no daemon Utility do ArubaOS permitindo que um atacante não autenticado execute código arbitrário remotamente ao enviar pacotes especialmente criados para a porta UDP do PAPI (protocolo de gerenciamento de ponto de acesso da Aruba) (8211).
CVE-2024-26304
– Falha no serviço de gerenciamento L2/L3, permitindo execução de código remoto não autenticada por meio de pacotes criados enviados para a porta UDP do PAPI.
CVE-2024-33511
– Vulnerabilidade no serviço de Relatório Automático que pode ser explorada enviando pacotes especialmente criados para a porta do protocolo PAPI permitindo a executores remotos não autenticados executarem código arbitrário.
CVE-2024-33512
– Falha que permite a executores remotos não autenticados executar código explorando um estouro de buffer no serviço de Base de Dados de Autenticação de Usuário Local acessado via protocolo PAPI.
Para mitigar as falhas, o fornecedor recomenda a ativação da Segurança PAPI Reforçada e a atualização para versões corrigidas do ArubaOS.
As versões mais recentes também endereçam outras seis vulnerabilidades, todas classificadas como "média" em severidade (CVSS v3.1: 5.3 – 5.9) que poderiam permitir a atacantes não autenticados criar negação de serviço em dispositivos vulneráveis e causar disrupções operacionais custosas.
As versões de atualização alvo que abordam todas as dez falhas são:
ArubaOS 10.6.0.0 e acima
ArubaOS 10.5.1.1 e acima
ArubaOS 10.4.1.1 e acima
ArubaOS 8.11.2.2 e acima
ArubaOS 8.10.0.11 e acima
Até o momento, a HPE Aruba Networking não tem conhecimento de nenhum caso de exploração ativa ou da existência de demonstrações de conceito (Proof of Concept - PoC) para as vulnerabilidades mencionadas.
Ainda assim, recomenda-se aos administradores de sistema que apliquem as atualizações de segurança disponíveis o mais rápido possível.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...