03 de mayo de 2024Sala de prensaVulnerabilidad/Seguridad del software HPE Aruba Networking (anteriormente Aruba Networks) lanzó actualizaciones de seguridad para abordar fallas críticas que afectan a ArubaOS y que podrían resultar en la ejecución remota de código (RCE) en los sistemas afectados. De los 10 defectos de seguridad, cuatro están clasificados como críticos en cuanto a gravedad: CVE-2024-26304 (puntuación CVSS: 9,8) – Vulnerabilidad de desbordamiento de búfer no autenticado en el servicio de gestión L2/L3 al que se accede a través del protocolo PAPI CVE-2024-26305 (puntuación CVSS: 9.8) – Vulnerabilidad de desbordamiento de búfer no autenticado en el demonio de utilidad al que se accede a través del protocolo PAPI CVE-2024-33511 (puntaje CVSS: 9.8) – Vulnerabilidad de desbordamiento de búfer no autenticado en el servicio de informes automático al que se accede a través del protocolo PAPI CVE-2024-33512 (puntuación CVSS : 9.8) – Vulnerabilidad de desbordamiento de búfer no autenticado en la base de datos de autenticación de usuario local a la que se accede a través del protocolo PAPI. Un actor de amenazas podría explotar los errores de desbordamiento de búfer antes mencionados enviando paquetes especialmente diseñados destinados al puerto UDP (8211) de la interfaz de programación de aplicaciones de proceso (PAPI). obteniendo así la capacidad de ejecutar código arbitrario como usuario privilegiado en el sistema operativo subyacente. Las vulnerabilidades, que afectan a Mobility Conductor (anteriormente Mobility Master), Mobility Controllers y WLAN Gateways y SD-WAN Gateways administrados por Aruba Central, están presentes en las siguientes versiones de software: ArubaOS 10.5.1.0 y anteriores ArubaOS 10.4.1.0 y anteriores ArubaOS 8.11.2.1 y anteriores, y ArubaOS 8.10.0.10 y anteriores. También afectan las versiones de software de ArubaOS y SD-WAN que han alcanzado el estado de fin de mantenimiento: ArubaOS 10.3.xx ArubaOS 8.9.xx ArubaOS 8.8.xx ArubaOS 8.7.xx ArubaOS 8.6 .xx ArubaOS 6.5.4.x SD-WAN 8.7.0.0-2.3.0.x y SD-WAN 8.6.0.4-2.2.xx A un investigador de seguridad llamado Chancen se le atribuye haber descubierto e informado siete de los 10 problemas, incluidas las cuatro vulnerabilidades críticas de desbordamiento del búfer. Se recomienda a los usuarios que apliquen las últimas correcciones para mitigar posibles amenazas. Como solución temporal para ArubaOS 8.x, la empresa recomienda que los usuarios habiliten la función de seguridad PAPI mejorada utilizando una clave no predeterminada. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.