Múltiples vulnerabilidades en productos HPE Aruba

Fecha de publicación 25/09/2024
Importancia
5 - Crítica
Recursos Afectados

Access Points de Aruba ejecutando Instant AOS-8 y AOS-10, versiones de software:

  • AOS-10.6.x.x: 10.6.0.2 y anteriores;
  • AOS-10.4.x.x: 10.4.1.3 y anteriores;
  • Instant AOS-8.12.x.x: 8.12.0.1 y anteriores;
  • Instant AOS-8.10.x.x: 8.10.0.13 y anteriores.

Además, todas las versiones de los siguientes productos que se encuentran en fase EoSL (End of Support Life):

  • AOS-10.5.x.x;
  • AOS-10.3.x.x;
  • Instant AOS-8.11.x.x;
  • Instant AOS-8.9.x.x;
  • Instant AOS-8.8.x.x;
  • Instant AOS-8.7.x.x;
  • Instant AOS-8.6.x.x;
  • Instant AOS-8.5.x.x;
  • Instant AOS-8.4.x.x;
  • Instant AOS-6.5.x.x;
  • Instant AOS-6.4.x.x.
Descripción

HPE Product Security Response Team ha reportado 3 vulnerabilidades de severidad crítica que afectan a dispositivos Access Points de Aruba, cuya explotación podría permitir a un atacante remoto realizar una ejecución de código arbitrario.

Solución

Actualizar los Access Points de Aruba a las siguientes versiones o superiores:

  • AOS-10.7.x.x: 10.7.0.0;
  • AOS-10.6.x.x: 10.6.0.3;
  • AOS-10.4.x.x: 10.4.1.4;
  • Instant AOS-8.12.x.x: 8.12.0.2;
  • Instant AOS-8.10.x.x: 8.10.0.14.
Detalle

Las 3 vulnerabilidades identificadas son de tipo inyección de comandos en el servicio CLI subyacente y podrían permitir la ejecución remota de código arbitrario no autenticado, mediante el envío de paquetes especialmente diseñados al puerto UDP (8211) de PAPI (protocolo de gestión de puntos de acceso de Aruba), por parte de un usuario con privilegios.

Se han asignado los identificadores CVE-2024-42505, CVE-2024-42506 y CVE-2024-42507 para estas vulnerabilidades.