Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Aruba

Fecha de publicación 26/10/2022
Identificador

INCIBE-2022-0991

Importancia
5 - Crítica
Recursos Afectados
  • Aruba Mobility Conductor (conocido anteriormente como Mobility Master).
  • Aruba Mobility Controllers.
  • WLAN Gateways y SD-WAN Gateways gestionados por Aruba Central.
  • ArubaOS, versiones:
    • 6.5.4.22 y anteriores;
    • 8.6.0.17 y anteriores;
    • 8.7.1.9 y anteriores;
    • 10.3.0.0.
  • SD-WAN, versiones desde 8.7.0.0 hasta 2.3.0.6 y anteriores.
  • Todas las versiones de los productos EOL:
    • ArubaOS 8.4.x.x;
    • ArubaOS 8.5.x.x;
    • ArubaOS 8.8.x.x;
    • ArubaOS 8.9.x.x;
    • SD-WAN 8.5.0.0-2.1.x.x;
    • SD-WAN 8.6.0.4-2.2.x.x.
Descripción

Se han identificado 16 vulnerabilidades, una de ellas de severidad crítica, que afectan a productos Aruba (subsidiaria de HP), cuya explotación podría permitir a un atacante inyectar código, ejecutar código arbitrario de forma remota, modificar la secuencia de arranque, eliminar archivos arbitrarios, causar una condición de denegación de servicio, divulgar información sensible, desbordar el búfer o lectura de archivos arbitrarios.

Solución

Actualizar los productos afectados a las versiones:

  • ArubaOS 6.5.4.23 y superiores;
  • ArubaOS 8.6.0.18 y superiores;
  • ArubaOS 8.7.1.10 y superiores;
  • ArubaOS 8.10.0.0 y superiores;
  • ArubaOS 10.3.0.1 y superiores;
  • SD-WAN 8.7.0.0-2.3.0.7 y superiores.
Detalle

Una vulnerabilidad de inyección de comandos podría conducir a la ejecución de código remoto no autenticado mediante el envío de paquetes especialmente diseñados destinados al puerto UDP (8211) de PAPI (protocolo de gestión de AP de Aruba Networks). La explotación exitosa de esta vulnerabilidad podría resultar en la capacidad de ejecutar código arbitrario como un usuario privilegiado en el sistema operativo subyacente. Se ha asignado el identificador CVE-2022-37897 para esta vulnerabilidad crítica.

La tipología e identificadores CVE del resto de vulnerabilidades se pueden consultar en los enlaces de las referencias.

Encuesta valoración