Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en ArubaOS-Switch de HPE Aruba

Fecha de publicación 30/08/2023
Identificador

INCIBE-2023-0360

Importancia
4 - Alta
Recursos Afectados

Modelos de HPE Aruba Networking Switch:

  • Aruba 5400R Series Switches;
  • Aruba 3810 Series Switches;
  • Aruba 2920 Series Switches;
  • Aruba 2930F Series Switches;
  • Aruba 2930M Series Switches;
  • Aruba 2530 Series Switches;
  • Aruba 2540 Series Switches.

Versiones de las ramas de desarrollo de software:

  • ArubaOS-Switch 16.11.xxxx: KB/WC/YA/YB/YC.16.11.0012 y anteriores.
  • ArubaOS-Switch 16.10.xxxx: KB/WC/YA/YB/YC.16.10.0025 y anteriores.
  • ArubaOS-Switch 16.10.xxxx: WB.16.10.23 y anteriores.
  • ArubaOS-Switch 16.09.xxxx: todas las versiones.
  • ArubaOS-Switch 16.08.xxxx: KB/WB/WC/YA/YB/YC.16.08.0026 y anteriores.
  • ArubaOS-Switch 16.07.xxxx: todas las versiones.
  • ArubaOS-Switch 16.06.xxxx: todas las versiones.
  • ArubaOS-Switch 16.05.xxxx: todas las versiones.
  • ArubaOS-Switch 16.04.xxxx: KA/RA.16.04.0026 y anteriores.
  • ArubaOS-Switch 16.03.xxxx: todas las versiones.
  • ArubaOS-Switch 16.02.xxxx: todas las versiones.
  • ArubaOS-Switch 16.01.xxxx: todas las versiones.
  • ArubaOS-Switch 15.xx.xxxx: 15.16.0025 y anteriores.
Descripción

HPE Aruba Networking ha lanzado actualizaciones que abordan múltiples vulnerabilidades de severidad alta. Su explotación podría permitir a un atacante ejecutar secuencias de comandos entre sitios (XSS), provocar una denegación de servicio (DoS) o una corrupción de memoria,

Solución

Para abordar las vulnerabilidades se recomienda actualizar el software a las siguientes versiones: 

  • ArubaOS-Switch 16.11.xxxx: KB/WC/YA /YB/YC.16.11.0013 y superiores; 
  • ArubaOS-Switch 16.10.xxxx: WB.16.10.0024 y superior;
  • ArubaOS-Switch 16.08.xxxx: KB/WB/WC/YA/YB/YC.16.08.0027 y superiores;
  • ArubaOS-Switch 16.04.xxxx: KA/RA.16.04.0027 y superiores;
  • ArubaOS-Switch 15.xx.xxxx: A.15.16.0026 y superior. 
Detalle
  • La vulnerabilidad CVE-2023-39266 afecta a interfaz de administración web de ArubaOS-Switch y podría permitir que un atacante remoto, no autenticado, lleve a cabo un ataque de secuencias de comandos entre sitios (XSS) almacenado contra un usuario de la interfaz. La explotación exitosa podría permitir a un atacante ejecutar código de script arbitrario en el navegador de la víctima en el contexto de la interfaz afectada. 
  • La vulnerabilidad CVE-2023-39267 podría provocar ejecución remota de código autenticado en la interfaz de línea de comando en ArubaOS-Switch. La explotación exitosa da como resultado una condición de denegación de servicio (DoS) en el conmutador. 
  • La vulnerabilidad CVE-2023-39268 de corrupción de memoria en ArubaOS-Switch podría provocar la ejecución remota de código, no autenticado, al recibir paquetes especialmente diseñados. La explotación exitosa de esta  vulnerabilidad da como resultado la capacidad de ejecutar código arbitrario como usuario privilegiado en el sistema operativo subyacente.