Múltiples vulnerabilidades en productos HPE Aruba

Fecha de publicación 19/08/2024
Importancia
5 - Crítica
Recursos Afectados
  • ArubaOS 10.6.x.x: 10.6.0.0 y anteriores;
  • ArubaOS 10.4.x.x: 10.4.1.3 y anteriores;
  • InstantOS 8.12.x.x: 8.12.0.1 y anteriores;
  • InstantOS 8.10.x.x: 8.10.0.12 y anteriores;
  • todas las versiones de los siguientes productos EoM (End of Maintenance);
    • ArubaOS 10.5.x.x;
    • ArubaOS 10.3.x.x;
    • InstantOS 8.11.x.x;
    • InstantOS 8.9.x.x;
    • InstantOS 8.8.x.x;
    • InstantOS 8.7.x.x;
    • InstantOS 8.6.x.x,
    • InstantOS 8.5.x.x;
    • InstantOS 8.4.x.x;
    • InstantOS 6.5.x.x;
    • InstantOS 6.4.x.x.
Descripción

HPE Product Security Response Team ha reportado 10 vulnerabilidades que afectan a AP (Access Points) con ArubaOS e InstantOS, 3 de severidad crítica y 7 medias. La explotación de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código/comandos arbitrarios y realizar una denegación de servicio.

Solución

Actualizar los AP afectados a las versiones:

  • ArubaOS 10.6.x.x: 10.6.0.1 y posteriores;
  • ArubaOS 10.4.x.x: 10.4.1.4 y posteriores;
  • InstantOS 8.12.x.x: 8.12.0.2 y posteriores;
  • InstantOS 8.10.x.x: 8.10.0.13 y posteriores.
Detalle

Las vulnerabilidades críticas se describen a continuación:

  • Vulnerabilidades en el servicio Soft AP Daemon que podrían permitir a un atacante, no autenticado, realizar un RCE. Una explotación exitosa podría permitir la ejecución de comandos arbitrarios en el sistema operativo subyacente, lo que llevaría a un compromiso completo del sistema. Se ha asignado los identificadores CVE-2024-42393 y CVE-2024-42394 para estas vulnerabilidades.
  • Vulnerabilidad en el servicio de gestión de certificados AP que podría permitir a un atacante, no autenticado, realizar un RCE. Una explotación exitosa podría permitir a un atacante ejecutar comandos arbitrarios en el sistema operativo afectado, comprometiendo el sistema por completo. Se ha asignado el identificador CVE-2024-42395 para esta vulnerabilidad.