HPE Aruba Networking corrige quatro falhas críticas de RCE no ArubaOS

O comunicado lista dez vulnerabilidades, quatro das quais são problemas de buffer overflow não autenticados de gravidade crítica (CVSS v3.1: 9.8) que podem levar à execução remota de código (RCE).

Os produtos impactados pelas falhas recentemente divulgadas são:

• HPE Aruba Networking Mobility Conductor, controladores de mobilidade, gateways WLAN e gateways SD-WAN gerenciados pelo Aruba Central.
• ArubaOS 10.5.1.0 e inferior, 10.4.1.0 e anterior, 8.11.2.1 e inferior e 8.10.0.10 e anterior.
• Todas as versões do ArubaOS e SD-WAN que atingiram a EoL. Isso inclui ArubaOS abaixo de 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4 e SD-WAN 2.3.0 a 8.7.0.0 e 2.2 a 8.6.0.4.

As quatro falhas críticas de execução remota de código são: 

• CVE-2024-26305 – Falha no daemon utilitário do ArubaOS que permite que um invasor não autenticado execute código arbitrário remotamente, enviando pacotes especialmente criados para a porta UDP PAPI (protocolo de gerenciamento de ponto de acesso da Aruba) (8211).
• CVE-2024-26304 – Falha no serviço de gerenciamento L2/L3, permitindo execução remota de código não autenticado através de pacotes criados enviados para a porta UDP PAPI.
• CVE-2024-33511 – Vulnerabilidade no serviço de Relatório Automático que pode ser explorada enviando pacotes especialmente criados para a porta do protocolo PAPI para permitir que invasores não autenticados executem código arbitrário remotamente.
• CVE-2024-33512 – Falha que permite que invasores remotos não autenticados executem código explorando um buffer overflow no serviço de banco de dados de autenticação de usuário local acessado por meio do protocolo PAPI.

Para mitigar as falhas, o fornecedor recomenda ativar a segurança PAPI aprimorada e atualizar para versões corrigidas do ArubaOS.

As versões mais recentes também abordam outras seis vulnerabilidades, todas classificadas como “médias” em gravidade (CVSS v3.1: 5.3 – 5.9), o que pode permitir que invasores não autenticados criem negação de serviço em dispositivos vulneráveis ​​e causem interrupções operacionais dispendiosas.

As versões de atualização alvo que abordam todas as dez falhas são:

• ArubaOS 10.6.0.0 e superior 
• ArubaOS 10.5.1.1 e superior 
• ArubaOS 10.4.1.1 e superior 
• ArubaOS 8.11.2.2 e superior 
• ArubaOS 8.10.0.11 e superior 

No momento, a HPE Aruba Networking não tem conhecimento de nenhum caso de exploração ativa ou da existência de explorações de prova de conceito (PoC) para as vulnerabilidades mencionadas.

Ainda assim, recomenda-se aos administradores de sistema que apliquem as atualizações de segurança disponíveis o mais rápido possível.