Hewlett Packard Enterprise (HPE) ha publicado actualizaciones de seguridad para abordar múltiples vulnerabilidades que afectan a los productos Aruba Networking Access Point, incluidos dos errores críticos que podrían provocar la ejecución de comandos no autenticados.
Las fallas afectan a los puntos de acceso que ejecutan Instant AOS-8 y AOS-10.
- AOS-10.4.xx: 10.4.1.4 y anteriores
- Instantáneo AOS-8.12.xx: 8.12.0.2 y anteriores
- Instantáneo AOS-8.10.xx: 8.10.0.13 y anteriores
Las más graves entre las seis vulnerabilidades recientemente parcheadas son CVE-2024-42509 (puntuación CVSS: 9,8) y CVE-2024-47460 (puntuación CVSS: 9,0), dos fallas críticas de inyección de comandos no autenticados en el servicio CLI que podrían resultar en la ejecución de código arbitrario.
“La vulnerabilidad de inyección de comandos en el servicio CLI subyacente podría conducir a la ejecución remota de código no autenticado mediante el envío de paquetes especialmente diseñados destinados al puerto UDP (8211) PAPI (protocolo de gestión de puntos de acceso de Aruba)”, dijo HPE en un aviso sobre ambas fallas.
“La explotación exitosa de esta vulnerabilidad da como resultado la capacidad de ejecutar código arbitrario como usuario privilegiado en el sistema operativo subyacente”.
Se recomienda habilitar la seguridad del clúster mediante el comando cluster-security para mitigar CVE-2024-42509 y CVE-2024-47460 en dispositivos que ejecutan código Instant AOS-8. Sin embargo, para los dispositivos AOS-10, la empresa recomienda bloquear el acceso al puerto UDP 8211 desde todas las redes que no sean de confianza.
HPE también resolvió otras cuatro vulnerabilidades:
- CVE-2024-47461 (puntuación CVSS: 7,2): una ejecución de comando remota (RCE) arbitraria autenticada en Instant AOS-8 y AOS-10
- CVE-2024-47462 y CVE-2024-47463 (puntuaciones CVSS: 7,2): una vulnerabilidad de creación de archivos arbitraria en Instant AOS-8 y AOS-10 que conduce a la ejecución remota de comandos autenticados.
- CVE-2024-47464 (puntuación CVSS: 6,8): una vulnerabilidad de recorrido de ruta autenticada conduce a un acceso remoto no autorizado a archivos
Como solución alternativa, se insta a los usuarios a restringir el acceso a la CLI y a las interfaces de administración basadas en web colocándolas dentro de una VLAN dedicada y controlándolas mediante políticas de firewall en la capa 3 y superiores.
“Aunque no se ha informado previamente que los puntos de acceso de Aruba Network sean explotados en la naturaleza, son un objetivo atractivo para los actores de amenazas debido al acceso potencial que estas vulnerabilidades podrían proporcionar a través del usuario privilegiado RCE”, dijo Arctic Wolf. “Además, los actores de amenazas pueden intentar aplicar ingeniería inversa a los parches para explotar sistemas sin parches en un futuro próximo”.
