Múltiples vulnerabilidades en productos Aruba
INCIBE-2022-0991
- Aruba Mobility Conductor (conocido anteriormente como Mobility Master).
- Aruba Mobility Controllers.
- WLAN Gateways y SD-WAN Gateways gestionados por Aruba Central.
- ArubaOS, versiones:
- 6.5.4.22 y anteriores;
- 8.6.0.17 y anteriores;
- 8.7.1.9 y anteriores;
- 10.3.0.0.
- SD-WAN, versiones desde 8.7.0.0 hasta 2.3.0.6 y anteriores.
- Todas las versiones de los productos EOL:
- ArubaOS 8.4.x.x;
- ArubaOS 8.5.x.x;
- ArubaOS 8.8.x.x;
- ArubaOS 8.9.x.x;
- SD-WAN 8.5.0.0-2.1.x.x;
- SD-WAN 8.6.0.4-2.2.x.x.
Se han identificado 16 vulnerabilidades, una de ellas de severidad crítica, que afectan a productos Aruba (subsidiaria de HP), cuya explotación podría permitir a un atacante inyectar código, ejecutar código arbitrario de forma remota, modificar la secuencia de arranque, eliminar archivos arbitrarios, causar una condición de denegación de servicio, divulgar información sensible, desbordar el búfer o lectura de archivos arbitrarios.
Actualizar los productos afectados a las versiones:
- ArubaOS 6.5.4.23 y superiores;
- ArubaOS 8.6.0.18 y superiores;
- ArubaOS 8.7.1.10 y superiores;
- ArubaOS 8.10.0.0 y superiores;
- ArubaOS 10.3.0.1 y superiores;
- SD-WAN 8.7.0.0-2.3.0.7 y superiores.
Una vulnerabilidad de inyección de comandos podría conducir a la ejecución de código remoto no autenticado mediante el envío de paquetes especialmente diseñados destinados al puerto UDP (8211) de PAPI (protocolo de gestión de AP de Aruba Networks). La explotación exitosa de esta vulnerabilidad podría resultar en la capacidad de ejecutar código arbitrario como un usuario privilegiado en el sistema operativo subyacente. Se ha asignado el identificador CVE-2022-37897 para esta vulnerabilidad crítica.
La tipología e identificadores CVE del resto de vulnerabilidades se pueden consultar en los enlaces de las referencias.