A Hewlett Packard Enterprise (HPE) lançou atualizações para o software Instant AOS-8 e AOS-10 para corrigir duas vulnerabilidades críticas nos Access Points da Aruba Networking.
Essas duas falhas de segurança poderiam permitir que um atacante remoto realizasse injeção de comandos não autenticada ao enviar pacotes especialmente criados para o protocolo de gerenciamento do Access Point da Aruba (PAPI) através da porta UDP 8211.
As falhas críticas são rastreadas como
CVE-2024-42509
e
CVE-2024-47460
, e receberam respectivamente uma pontuação de severidade de 9.8 e 9.0.
Ambas estão no serviço de interface de linha de comando (CLI), acessado através do protocolo PAPI.
A atualização também corrige outras quatro vulnerabilidades de segurança:
-
CVE-2024-47461
(pontuação de severidade 7.2): execução de comando remoto autenticada que poderia permitir a um atacante executar comandos arbitrários no sistema operacional subjacente.
-
CVE-2024-47462
e
CVE-2024-47463
(pontuação de severidade 7.2): um atacante autenticado poderia criar arquivos arbitrários, levando potencialmente a execução de comando remoto.
-
CVE-2024-47464
(pontuação de severidade 6.8): um atacante autenticado explorando esta vulnerabilidade poderia acessar arquivos não autorizados via traversal de caminho.
Todas as seis vulnerabilidades afetam o AOS-10.4.x.x: versões 10.4.1.4 e anteriores, Instant AOS-8.12.x.x: 8.12.0.2 e abaixo, e Instant AOS-8.10.x.x: 8.10.0.13 e versões anteriores.
A HPE observa no aviso de segurança que várias outras versões do software que alcançaram suas datas de Fim de Manutenção também são impactadas por essas falhas, não havendo atualizações de segurança para elas.
Para abordar as vulnerabilidades nos Access Points da Aruba Networking, a HPE recomenda aos usuários atualizar seus dispositivos para as seguintes versões de software ou mais recentes:
- AOS-10.7.x.x: Atualizar para a versão 10.7.0.0 ou posterior.
- AOS-10.4.x.x: Atualizar para a versão 10.4.1.5 ou posterior.
- Instant AOS-8.12.x.x: Atualizar para a versão 8.12.0.3 ou mais recente.
- Instant AOS-8.10.x.x: Atualizar para a versão 8.10.0.14 ou superior.
A HPE também forneceu soluções alternativas para todas as seis falhas, para ajudar nos casos em que as atualizações de software não possam ser instaladas imediatamente:
Para as duas falhas críticas, a solução alternativa proposta é restringir/bloquear o acesso à porta UDP 8211 a partir de todas as redes não confiáveis.
Para o restante dos problemas, o fornecedor recomenda restringir o acesso às interfaces de gerenciamento CLI e baseadas na web, colocando-as em um segmento dedicado da camada 2 ou VLAN, e controlar o acesso com políticas de firewall na camada 3 e acima, o que limitaria a exposição potencial.
Não foi observada nenhuma exploração ativa das falhas, mas a aplicação das atualizações de segurança e/ou mitigação vem como uma forte recomendação.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...