Alerta Masiva de Ciberseguridad: Múltiples vulnerabilidades en productos de Aruba
- 11/05/2023
- 91
El día 10 de marzo de 2023 Aruba Networks ha informado de 8 vulnerabilidades críticas, 4 vulnerabilidades de severidad alta, y una vulnerabilidad de severidad media. La explotación de estas vulnerabilidades podría permitir a un atacante realizar ejecuciones arbitrarias de código, provocar una denegación de servicio, ejecutar comandos arbitrarios y provocar desbordamientos de búfer.
Recursos Afectados:
- Aruba Access Points con el software InstantOS y ArubaOS 10:
- ArubaOS 10.3.x: versiones 10.3.1.0 y anteriores;
- Aruba InstantOS 8.10.x: versiones 8.10.0.4 y anteriores;
- Aruba InstantOS 8.6.x: versiones 8.6.0.19 y anteriores;
- Aruba InstantOS 6.5.x: versiones 6.5.4.23 y anteriores;
- Aruba InstantOS 6.4.x: versiones 6.4.4.8-4.2.4.20 y anteriores.
Las siguientes versiones de InstantOS se encuentran en el final de su ciclo de vida, por lo que están afectadas por las vulnerabilidades reportadas y no van a ser parcheadas:
- Todas las versiones de InstantOS 8.9.x;
- Todas las versiones de InstantOS 8.8.x;
- Todas las versiones de InstantOS 8.7.x;
- Todas las versiones de InstantOS 8.5.x;
- Todas las versiones de InstantOS 8.4.x.
Descripción:
Las 8 vulnerabilidades de severidad crítica consisten en un desbordamiento de búfer en múltiples servicios subyacentes que podrían conducir a la ejecución remota de código no autenticada mediante el envío de paquetes especialmente diseñados destinados al puerto UDP PAPI. La explotación exitosa de estas
vulnerabilidades podría permitir a un atacante ejecutar código arbitrario como usuario privilegiado en el sistema operativo subyacente.
Se han asignado los siguientes identificadores para estas vulnerabilidades: CVE-2023-22779, CVE-2023-22780, CVE-2023-22781, CVE-2023-22782, CVE-2023-22783, CVE-2023-22784, CVE-2023-22785 y CVE-2023-22786.
Los identificadores del resto de vulnerabilidades no críticas se pueden consultar en el aviso de Aruba Networks incluido en las referencias.
Recomendaciones:
Aruba Network ha lanzado nuevas versiones de software para solucionar las vulnerabilidades en los productos afectados. Se recomienda consultar la información del proveedor y actualizar.
Referencias:
- https://www.arubanetworks.com/security-advisory/arubaos-multiple-vulnerabilities-6/