Quatro bugs críticos no ArubaOS levam à execução remota de código • st

Os administradores de rede estão sendo instados a corrigir um pacote de vulnerabilidades críticas no ArubaOS que levam à execução remota de código como um usuário privilegiado.

A HPE Aruba Networking divulgou dez vulnerabilidades esta semana, quatro das quais são classificadas como “críticas” com classificações de gravidade de 9,8.

Todos os quatro problemas críticos são classificados como vulnerabilidades de buffer overflow, cada um afetando diferentes componentes subjacentes do ArubaOS – o sistema operacional que executa as soluções sem fio da Aruba.

As quatro vulnerabilidades críticas são:

• CVE-2024-26305: Estouro de buffer no daemon do utilitário ArubaOS

• CVE-2024-26304: Estouro de buffer no serviço de gerenciamento L2/L3 do ArubaOS

• CVE-2024-33511: Estouro de buffer no serviço de relatórios automáticos do ArubaOS

• CVE-2024-33512: Estouro de buffer no banco de dados de autenticação de usuário local do ArubaOS

O código de exploração de prova de conceito ainda não foi lançado, mas os avisos de segurança dizem que todos os quatro componentes são acessados ​​​​por meio da porta UDP (8211) da interface de programação de aplicativos de processo (PAPI) da Aruba, e o envio de pacotes especialmente criados pode levar à execução arbitrária de código.

Aruba Mobility Conductors, Mobility Controllers e gateways WLAN e gateways SD-WAN gerenciados pelo Aruba Central são afetados pelas vulnerabilidades.

A lista de versões que precisam de atualização são:

• ArubaOS 10.5.xx: 10.5.1.0 e inferior

• ArubaOS 10.4.xx: 10.4.1.0 e inferior

• ArubaOS 8.11.xx: 8.11.2.1 e inferior

• ArubaOS 8.10.xx: 8.10.0.10 e inferior

Há também uma lista de versões de software que não recebem mais suporte técnico, mas estão vulneráveis ​​a problemas de segurança:

• Aruba OS 10.3.xx

• Aruba OS 8.9.xx

• Aruba OS 8.8.xx

• Aruba OS 8.7.xx

• Aruba OS 8.6.xx

• Aruba OS 6.5.4.x

• SD-WAN 8.7.0.0-2.3.0.x

• SD-WAN 8.6.0.4-2.2.xx

As quatro vulnerabilidades críticas afetam apenas o ArubaOS 8.x e uma solução alternativa temporária está disponível enquanto os administradores reservam um tempo para aplicar todos os patches. De acordo com o comunicado, habilitar o recurso de segurança PAPI usando uma chave não padrão evitará qualquer exploração.

Quanto às outras seis vulnerabilidades, todas foram classificadas como de gravidade média e foram relatadas por meio do programa de recompensas de bugs do fornecedor.

CVE-2024-33513, CVE-2024-33514 e CVE-2024-33515 são todas falhas de negação de serviço (DoS) não autenticadas no serviço de gerenciamento de AP da ArubaOS e cada uma tem uma pontuação de gravidade de 5,9.

CVE-2024-33516 é outro bug DoS não autenticado, mas este afeta o serviço de autenticação, com uma pontuação de gravidade de 5,3. O pesquisador creditado pela descoberta, junto com os outros três bugs DoS, foi nomeado Chancen.

Chancen também relatou uma quinta vulnerabilidade DoS não autenticada em CVE-2024-33517. Novamente, isso carrega uma classificação de gravidade de 5,3 e afeta o serviço do gerenciador de radiofrequência.

Um pesquisador chamado XiaoC do Moonlight Bug Hunter foi creditado com o bug final de gravidade média (5.3) – um buffer overflow não autenticado que leva ao DoS no daemon de radiofrequência.

Assim como os quatro bugs críticos, as seis vulnerabilidades de gravidade média também podem ser atenuadas ativando o recurso PAPI Security, mas é sempre melhor aplicar os patches o mais rápido possível. ®