A HPE Aruba Networking (anteriormente Aruba Networks) lançou atualizações de segurança para solucionar falhas críticas que afetam o ArubaOS e que podem resultar na execução remota de código (RCE) nos sistemas afetados.
Dos 10 defeitos de segurança, quatro são classificados como críticos em termos de gravidade –
- CVE-2024-26304 (pontuação CVSS: 9,8) – Vulnerabilidade de buffer overflow não autenticado no serviço de gerenciamento L2/L3 acessado por meio do protocolo PAPI
- CVE-2024-26305 (Pontuação CVSS: 9,8) – Vulnerabilidade de estouro de buffer não autenticado no daemon de utilitário acessado por meio do protocolo PAPI
- CVE-2024-33511 (pontuação CVSS: 9,8) – Vulnerabilidade de buffer overflow não autenticado no serviço de relatório automático acessado por meio do protocolo PAPI
- CVE-2024-33512 (pontuação CVSS: 9,8) – Vulnerabilidade de buffer overflow não autenticado no banco de dados de autenticação de usuário native acessado por meio do protocolo PAPI
Um agente de ameaça poderia explorar os bugs de buffer overflow mencionados acima, enviando pacotes especialmente criados destinados à porta UDP (8211) da Course of Software Programming Interface (PAPI), ganhando assim a capacidade de executar código arbitrário como um usuário privilegiado no sistema operacional subjacente.
As vulnerabilidades, que afetam o Mobility Conductor (anteriormente Mobility Grasp), os Mobility Controllers e os gateways WLAN e SD-WAN gerenciados pelo Aruba Central, estão presentes nas seguintes versões de software program –
- ArubaOS 10.5.1.0 e inferior
- ArubaOS 10.4.1.0 e inferior
- ArubaOS 8.11.2.1 e inferior, e
- ArubaOS 8.10.0.10 e inferior
Eles também afetam as versões de software program ArubaOS e SD-WAN que atingiram o standing de fim de manutenção –
- Aruba OS 10.3.xx
- Aruba OS 8.9.xx
- Aruba OS 8.8.xx
- Aruba OS 8.7.xx
- Aruba OS 8.6.xx
- Aruba OS 6.5.4.x
- SD-WAN 8.7.0.0-2.3.0.xe
- SD-WAN 8.6.0.4-2.2.xx
Um pesquisador de segurança chamado Chancen recebeu o crédito por descobrir e relatar sete dos 10 problemas, incluindo as quatro vulnerabilidades críticas de buffer overflow.
Os usuários são aconselhados a aplicar as correções mais recentes para mitigar ameaças potenciais. Como soluções temporárias para o ArubaOS 8.x, a empresa recomenda que os usuários habilitem o recurso Segurança PAPI aprimorada usando uma chave não padrão.
