Ces 4 failles de sécurité critiques exposent le matériel Aruba à des attaques par exécution de code à distance

Vous utilisez des équipements réseau de chez HPE Aruba Networking ? Alors, vous devriez lire cet article avec attention : plusieurs failles de sécurité critiques ont été corrigées dans le système ArubaOS. Voici ce qu'il faut savoir.

Très populaires en entreprise, les équipements HPE Aruba Networking sont affectés par plusieurs failles de sécurité. L'éditeur a corrigé 10 vulnérabilités dans le système ArubaOS, dont 4 failles de sécurité critiques qui méritent une attention particulière. En exploitant ces vulnérabilités, un attaquant pourrait exécuter du code à distance en tant qu'utilisateur privilégié sur l'équipement vulnérable.

Voici la liste des vulnérabilités critiques, toutes associées à un score CVSS de 9.8 sur 10.

• CVE-2024-26305
• CVE-2024-26304
• CVE-2024-33511
• CVE-2024-33512

Il s'agit de faiblesses de type "Buffer overflow" exploitables par l'intermédiaire du protocole PAPI. Ceci implique que l'attaquant puisse communiquer avec l'attaquant sur le port 8211 en UDP afin d'envoyer une requête spéciale sur l'interface PAPI (Performance Application Programming Interface).

Aruba : quels sont les produits et versions affectés ?

Dans son bulletin de sécurité, Aruba évoque les gammes de produits suivantes :

• Mobility Conductor (anciennement Mobility Master)
• Mobility Controllers
• Aruba Central pour gérer les passerelles WLAN et les passerelles SD-WAN

Les versions suivantes d'ArubaOS sont vulnérables :

• ArubaOS 10.5.x.x : 10.5.1.0 et antérieure
• ArubaOS 10.4.x.x : 10.4.1.0 et antérieure
• ArubaOS 8.11.x.x : 8.11.2.1 et antérieure
• ArubaOS 8.10.x.x : 8.10.0.10 et antérieure

Il est également précisé que certaines versions vulnérables ne sont plus prises en charge et qu'elles ne recevront pas de mises à jour de sécurité. Voici la liste des versions en question :

• ArubaOS 10.3.x.x
• ArubaOS 8.9.x.x
• ArubaOS 8.8.x.x
• ArubaOS 8.7.x.x
• ArubaOS 8.6.x.x
• ArubaOS 6.5.4.x
• SD-WAN 8.7.0.0-2.3.0.x
• SD-WAN 8.6.0.4-2.2.x.x

Comment se protéger ?

Pour se protéger de ces vulnérabilités, le système ArubaOS doit être mis à jour vers une version qui contient les correctifs de sécurité. Voici les versions à installer pour vous protéger :

• ArubaOS 10.6.x.x : 10.6.0.0 et supérieur
• ArubaOS 10.5.x.x : 10.5.1.1 et supérieur
• ArubaOS 10.4.x.x : 10.4.1.1 et supérieur
• ArubaOS 8.11.x.x : 8.11.2.2 et supérieur
• ArubaOS 8.10.x.x : 8.10.0.11 et supérieur

Sur ArubaOS 8.X, il existe une solution alternative autre que le patch de sécurité. Elle consiste à configurer la fonction de sécurité "Enhanced PAPI" pour ne pas utiliser la clé par défaut.

Pour le moment, rien n'indique que ces vulnérabilités soient exploitées dans le cadre de cyberattaques.

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio