HPE Aruba Networking emitió su aviso de seguridad de abril de 2024 que detalla las vulnerabilidades críticas de ejecución remota de código (RCE) que afectan a múltiples versiones de ArubaOS, su sistema operativo de red patentado. El aviso enumera diez vulnerabilidades, cuatro de las cuales son problemas de desbordamiento de búfer no autenticados de gravedad crítica (CVSS v3.1: 9.8) que pueden conducir a la ejecución remota de código (RCE). Los productos afectados por las fallas recientemente reveladas son: HPE Aruba Networking Mobility Conductor, controladores de movilidad, puertas de enlace WLAN y puertas de enlace SD-WAN administradas por Aruba Central. ArubaOS 10.5.1.0 y anteriores, 10.4.1.0 y anteriores, 8.11.2.1 y anteriores, y 8.10.0.10 y anteriores. Todas las versiones de ArubaOS y SD-WAN que han alcanzado el EoL. Esto incluye ArubaOS por debajo de 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4 y SD-WAN 2.3.0 a 8.7.0.0 y 2.2 a 8.6.0.4. Los cuatro fallos críticos en la ejecución remota de código son: CVE-2024-26305: fallo en el demonio de utilidad de ArubaOS que permite a un atacante no autenticado ejecutar código arbitrario de forma remota enviando paquetes especialmente diseñados al puerto UDP (8211) del PAPI (protocolo de gestión de puntos de acceso de Aruba). CVE-2024-26304: falla en el servicio de administración L2/L3, que permite la ejecución remota de código no autenticado a través de paquetes manipulados enviados al puerto UDP PAPI. CVE-2024-33511: Vulnerabilidad en el servicio de informes automáticos que puede explotarse enviando paquetes especialmente diseñados al puerto del protocolo PAPI para permitir que atacantes no autenticados ejecuten código arbitrario de forma remota. CVE-2024-33512: falla que permite a atacantes remotos no autenticados ejecutar código aprovechando un desbordamiento de búfer en el servicio de base de datos de autenticación de usuarios local al que se accede a través del protocolo PAPI. Para mitigar las fallas, el proveedor recomienda habilitar la seguridad PAPI mejorada y actualizar a versiones parcheadas para ArubaOS. Las últimas versiones también abordan otras seis vulnerabilidades, todas clasificadas en gravedad “media” (CVSS v3.1: 5.3 – 5.9), lo que podría permitir a atacantes no autenticados crear denegación de servicio en dispositivos vulnerables y causar costosas interrupciones operativas. Las versiones de actualización de destino que solucionan los diez defectos son: ArubaOS 10.6.0.0 y superiores ArubaOS 10.5.1.1 y superiores ArubaOS 10.4.1.1 y superiores ArubaOS 8.11.2.2 y superiores ArubaOS 8.10.0.11 y superiores En este momento, HPE Aruba Networking no está consciente de cualquier caso de explotación activa o de la existencia de exploits de prueba de concepto (PoC) para las vulnerabilidades mencionadas. Aún así, se recomienda a los administradores del sistema que apliquen las actualizaciones de seguridad disponibles lo antes posible. URL de la publicación original: https://www.bleepingcomputer.com/news/security/hpe-aruba-networking-fixes-four-critical-rce-flaws-in-arubaos/