Múltiples vulnerabilidades en productos Aruba

Fecha de publicación: 26/10/2022

Importancia:
Crítica

Recursos afectados:

  • Aruba Mobility Conductor (conocido anteriormente como Mobility Master).
  • Aruba Mobility Controllers.
  • WLAN Gateways y SD-WAN Gateways gestionados por Aruba Central.
  • ArubaOS, versiones:
    • 6.5.4.22 y anteriores;
    • 8.6.0.17 y anteriores;
    • 8.7.1.9 y anteriores;
    • 10.3.0.0.
  • SD-WAN, versiones desde 8.7.0.0 hasta 2.3.0.6 y anteriores.
  • Todas las versiones de los productos EOL:
    • ArubaOS 8.4.x.x;
    • ArubaOS 8.5.x.x;
    • ArubaOS 8.8.x.x;
    • ArubaOS 8.9.x.x;
    • SD-WAN 8.5.0.0-2.1.x.x;
    • SD-WAN 8.6.0.4-2.2.x.x.

Descripción:

Se han identificado 16 vulnerabilidades, una de ellas de severidad crítica, que afectan a productos Aruba (subsidiaria de HP), cuya explotación podría permitir a un atacante inyectar código, ejecutar código arbitrario de forma remota, modificar la secuencia de arranque, eliminar archivos arbitrarios, causar una condición de denegación de servicio, divulgar información sensible, desbordar el búfer o lectura de archivos arbitrarios.

Solución:

Actualizar los productos afectados a las versiones:

  • ArubaOS 6.5.4.23 y superiores;
  • ArubaOS 8.6.0.18 y superiores;
  • ArubaOS 8.7.1.10 y superiores;
  • ArubaOS 8.10.0.0 y superiores;
  • ArubaOS 10.3.0.1 y superiores;
  • SD-WAN 8.7.0.0-2.3.0.7 y superiores.

Detalle:

Una vulnerabilidad de inyección de comandos podría conducir a la ejecución de código remoto no autenticado mediante el envío de paquetes especialmente diseñados destinados al puerto UDP (8211) de PAPI (protocolo de gestión de AP de Aruba Networks). La explotación exitosa de esta vulnerabilidad podría resultar en la capacidad de ejecutar código arbitrario como un usuario privilegiado en el sistema operativo subyacente. Se ha asignado el identificador CVE-2022-37897 para esta vulnerabilidad crítica.

La tipología e identificadores CVE del resto de vulnerabilidades se pueden consultar en los enlaces de las referencias.

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, HP, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.