Múltiples vulnerabilidades en controladores y puertas de enlace de HPE Aruba
Controladores de movilidad y puertas de enlace SD-WAN de la serie 9200 y 9000:
- ArubaOS 10.4.xx: 10.4.0.1 y anteriores;
- ArubaOS 8.11.xx: 8.11.1.0 y anteriores;
- ArubaOS 8.10.xx: 8.10.0.6 y anteriores;
- ArubaOS 8.6.xx: 8.6.0.21 y anteriores.
Las siguientes versiones, que se encuentran en fin de soporte, también están afectadas:
- ArubaOS 10.3.x.x;
- ArubaOS 8.9.x.x;
- ArubaOS 8.8.x.x;
- ArubaOS 8.7.x.x;
- ArubaOS 6.5.4.x;
- SD-WAN 8.7.0.0-2.3.0.x;
- SD-WAN 8.6.0.4-2.2.x.x.
HP ha publicado 3 vulnerabilidades de severidad alta que podrían permitir a un atacante obtener acceso y cambiar información confidencial subyacente en el controlador afectado, lo que comprometería completamente el sistema.
HPE Aruba Networking ha lanzado parches para ArubaOS que abordan múltiples vulnerabilidades de seguridad.
Las versiones en fin de soporte no disponen de parche para estas vulnerabilidades.
Dos de las vulnerabilidades de severidad alta afecta a la implementación de la BIOS y podrían permitir a un atacante ejecutar código arbitrario en las primeras etapas de la secuencia de inicio y obtener acceso para cambiar información confidencial subyacente en el controlador afectado, lo que comprometería completamente el sistema. Se han asignado los identificadores CVE-2023-38484 y CVE-2023-38485 para estas vulnerabilidades.
La vulnerabilidad restante afecta a la implementación de arranque seguro lo que podría permitir a un atacante eludir los controles de seguridad que normalmente prohibirían la ejecución de imágenes del kernel sin firmar. Este, podría utilizar esta vulnerabilidad para ejecutar sistemas operativos en tiempo de ejecución arbitrarios, incluidas imágenes de sistema operativo no verificadas y sin firmar. Se ha asignado el identificador CVE-2023-38486 para esta vulnerabilidad.
