Aruba Networks ha pubblicato un avviso di sicurezza per informare i clienti di sei vulnerabilità di gravità critica che interessano diverse versioni di ArubaOS, il suo sistema operativo di rete proprietario.
Le falle riguardano Aruba Mobility Conductor, Aruba Mobility Controller e i gateway WLAN e SD-WAN gestiti da Aruba.
Aruba Networks è una filiale californiana di Hewlett Packard Enterprise, specializzata in reti informatiche e soluzioni di connettività wireless.
Le falle critiche affrontate da Aruba questa volta possono essere distinte in due categorie: falle di command injection e problemi di buffer overflow basati sullo stack nel protocollo PAPI (protocollo di gestione dei punti di accesso di Aruba Networks).
Tutte le falle sono state scoperte dall’analista di sicurezza Erik de Jong, che le ha segnalate al fornitore tramite il programma ufficiale di bug bounty.
Le vulnerabilità relative all’iniezione di comandi sono classificate come CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 e CVE-2023-22750, con una valutazione CVSS v3 di 9,8 su 10,0.
Un attaccante remoto non autenticato può sfruttarli inviando pacchetti appositamente creati al PAPI sulla porta UDP 8211, con conseguente esecuzione di codice arbitrario come utente privilegiato su ArubaOS.
I bug di buffer overflow basati su stack sono tracciati come CVE-2023-22751 e CVE-2023-22752, e hanno anche una valutazione CVSS v3 di 9,8.
ArubaOS vulnerabilità le versioni interessate sono:
- ArubaOS 8.6.0.19 e versioni precedenti
- ArubaOS 8.10.0.4 e versioni precedenti
- ArubaOS 10.3.1.0 e versioni precedenti
- SD-WAN 8.7.0.0-2.3.0.8 e versioni precedenti
Le versioni di aggiornamento previste, secondo Aruba, dovrebbero essere:
- ArubaOS 8.10.0.5 e versioni successive
- ArubaOS 8.11.0.0 e versioni successive
- ArubaOS 10.3.1.1 e versioni successive
- SD-WAN 8.7.0.0-2.3.0.9 e versioni successive
Purtroppo, anche diverse versioni di prodotti che hanno raggiunto la fine del ciclo di vita (EoL) sono affette da queste vulnerabilità e non riceveranno un aggiornamento di correzione. Si tratta di:
- ArubaOS 6.5.4.x
- ArubaOS 8.7.x.x
- ArubaOS 8.8.x.x
- ArubaOS 8.9.x.x
- SD-WAN 8.6.0.4-2.2.x.x
Una soluzione per gli amministratori di sistema che non possono applicare gli aggiornamenti di sicurezza o che utilizzano dispositivi EoL consiste nell’attivare la modalità “Enhanced PAPI Security” utilizzando una chiave non predefinita.
Tuttavia, l’applicazione delle mitigazioni non risolve altre 15 vulnerabilità ad alta gravità e otto a media gravità elencate nell’avviso di sicurezza di Aruba, che sono risolte dalle nuove versioni.
conclusione
Per difendersi dagli attacchi informatici, è fondamentale mantenere i propri sistemi operativi sempre aggiornati. Quando le aziende rilasciano avvisi di sicurezza, è necessario scaricare le patch e installarle immediatamente per evitare che i cyber criminali sfruttino le vulnerabilità presenti per intrufolarsi nei nostri sistemi.
È importante avere una buona consapevolezza delle minacce informatiche e non commettere l’errore di non installare gli aggiornamenti necessari per proteggere i propri dispositivi. Tutti gli aggiornamenti sono importanti e devono essere eseguiti con tempestività.
Tuttavia, è importante notare che ci sono dispositivi che sono arrivati alla fine del loro ciclo di vita e non riceveranno più aggiornamenti di sicurezza. Questi dispositivi sono particolarmente vulnerabili agli attacchi informatici e gli amministratori di sistema possono adottare workaround consigliati dall’azienda in attesa di passare a prodotti più aggiornati.
