Resumen ejecutivo:
En 30 de abril de 2024Aruba Networking reveló diez vulnerabilidades en su sistema operativo ArubaOS, entre ellas cuatro errores críticos de desbordamiento de búfer sin autenticación que podrían conducir a la ejecución remota de código (RCE).
Productos afectados: Las vulnerabilidades afectan específicamente a los productos de controlador de red y pasarela de Aruba, incluidos Mobility Conductor, Mobility Controllers, WLAN Gateways y SD-WAN Gateways gestionados a través de Aruba Central.
Impacto: Una explotación exitosa podría permitir a los actores de amenazas ejecutar código arbitrario con privilegios elevados en los sistemas afectados, lo que potencialmente podría conducir al reconocimiento de la red y al movimiento lateral.
Disponibilidad de parches: Los parches están disponibles para los clientes afectados en las versiones 10.6.0.0, 10.5.1.1, 10.4.1.1, 8.11.2.2, 8.10.0.11 de ArubaOS.
Estado de explotación: Aruba Networking no tiene conocimiento de ningún PoC público o explotación activa en el momento de la divulgación.
CensysPerspectiva: A partir del 3 de mayo de 2024, Censys observó 180+ hosts ejecutando ArubaOS, detectados a través de un servicio SNMP expuesto - aunque esto es probablemente una subestimación del número total expuesto. Casi la mitad están ejecutando una versión EOL.
Detección:
Censys Consulta de búsqueda de dispositivos ArubaOS expuestos: services.software: (vendor: "Aruba Networks" and product: "ArubaOS")
Censys Los clientes de ASM pueden utilizar la siguiente consulta de riesgos para buscar dispositivos ArubaOS vulnerables expuestos en su red que sean detectables a través de un servicio SNMP: risks.name="Instalación ArubaOS vulnerable [CVE-2024-26304, CVE-2024-26305, CVE-2024-33511]". Los dispositivos pertinentes se asociarán al espacio de trabajo ASM de su organización en un plazo aproximado de 24 horas.
Fondo
El 30 de abril de 2024, Aruba Networking, filial de Hewlett Packard Enterprise (HPE), reveló diez vulnerabilidades en su sistema operativo ArubaOScuatro de las cuales son errores críticos de desbordamiento de búfer no autenticado que podrían conducir a la ejecución remota de código (RCE): CVE-2024-26305, CVE-2024-26304, CVE-2024-3351y CVE-2024-33512
ArubaOS impulsa los distintos controladores, puertas de enlace, conmutadores y puntos de acceso que componen los productos de infraestructura LAN inalámbrica y por cable de Aruba Networking adaptados a las redes empresariales. redes empresarialescomo sucursales de campus y oficinas. Estas vulnerabilidades afectan específicamente a algunos de sus productos controladores y pasarelas, a saber: Mobility Conductor, Mobility Controllers, WLAN Gateways y SD-WAN Gateways gestionados a través de Aruba Central.
Consecuencias Potenciales de una Explotación Exitosa: Un actor de amenaza podría explotar potencialmente cualquiera de estas vulnerabilidades enviando un paquete HTTP crafteado al puerto UDP (8211) utilizado por el PAPI (protocolo de gestión de punto de acceso de Aruba). Si tiene éxito, esta explotación podría conceder al actor de la amenaza la capacidad de ejecutar código arbitrario con privilegios elevados en el sistema operativo subyacente en el dispositivo de red.
Esto supone una amenaza para la integridad de la red de una organización, ya que poner en peligro un dispositivo podría provocar un movimiento lateral y la interrupción de los servicios Wi-Fi. Con el control de los dispositivos LAN, una amenaza podría manipular el tráfico, interceptar datos confidenciales y provocar caídas de la red e interrupciones del servicio.
Aruba Networking ha declarado que no son no tienen conocimiento de un PoC público o cualquier explotación activa en este momento.
CensysPerspectiva
A partir del viernes, 3 de mayo de 2024, Censys observó más de 180 hosts ejecutando ArubaOS expuesto. Esta es una huella de Internet relativamente pequeña, pero tenga en cuenta que estos números probablemente subestiman el número total expuesto, ya que Censys sólo observa dispositivos ArubaOS que están exponiendo un servicio SNMP, específicamente aquellos que utilizan SNMP v1 o v2. Esto se debe a que SNMPv3 requiere autenticación de usuario antes de acceder a la información del dispositivo.
Algo menos de la mitad están alojados en Hungría, en una red denominada DRAVANET-AS.
Mapa de Censys-Hosts Visibles que Exponen ArubaOS a Través de un Servicio SNMP en la Internet Pública a partir del 3 de Mayo de 2024
| País |
Recuento de anfitriones |
Porcentaje |
| Hungría |
94 |
49.74% |
| Estados Unidos |
13 |
6.88% |
| Rumanía |
12 |
6.35% |
| España |
10 |
5.29% |
| Taiwán |
8 |
4.23% |
Top 5 Países con Hosts que Exponen ArubaOS
De todos los hosts expuestos, observamos que 1 servicio mostraba indicios de estar parcheado. 89, o casi la mitadparecen estar ejecutando la versión 8.9.0.2, una versión EOL que es potencialmente vulnerable a este exploit.
Recomendaciones para remediar la situación
Los parches están disponiblese para los clientes que ejecutan las siguientes versiones, y se pueden descargar desde el Portal de soporte de redes HPE.
| Versiones de software vulnerables |
Parche |
| 10.5.x.x (10.5.1.0 e inferiores) |
10.5.x.x: 10.5.1.1 y superior |
| 10.4.x.x (10.4.1.0 e inferiores) |
10.4.x.x: 10.4.1.1 y superior |
| 8.11.x.x (8.11.2.1 e inferiores) |
8.11.x.x: 8.11.2.2 y superior |
| 8.10.x.x (8.10.0.10 e inferiores) |
8.10.x.x: 8.10.0.11 y superior |
Estas versiones de software ArubaOS y SD-WAN son End of Life (EOL) y no serán parcheadas:
- ArubaOS 10.3.x.x
- ArubaOS 8.9.x.x
- ArubaOS 8.8.x.x
- ArubaOS 8.7.x.x
- ArubaOS 8.6.x.x
- ArubaOS 6.5.4.x
- SD-WAN 8.7.0.0-2.3.0.x
- SD-WAN 8.6.0.4-2.2.x.x
También se recomienda activar PAPI Enhanced Security: https://www.arubanetworks.com/techdocs/ArubaOS_74_Web_Help/Content/mas_guides/system_overview/PAPI_Enhanced_Security.htm
Referencias:
