Résumé :
Le 30 avril 2024Aruba Networking a révélé dix vulnérabilités dans son système d'exploitation ArubaOS, dont quatre bogues critiques de débordement de mémoire tampon non authentifié qui pourraient conduire à l'exécution de code à distance (RCE).
Produits concernés: Les vulnérabilités affectent spécifiquement les contrôleurs de réseau et les passerelles d'Aruba, y compris le Mobility Conductor, les contrôleurs de mobilité, les passerelles WLAN et les passerelles SD-WAN gérées par Aruba Central.
Impact: Une exploitation réussie pourrait permettre à des acteurs de la menace d'exécuter du code arbitraire avec des privilèges élevés sur les systèmes affectés, ce qui pourrait potentiellement conduire à une reconquête du réseau et à un mouvement latéral.
Disponibilité des correctifs: Les correctifs sont disponibles pour les clients concernés dans les versions 10.6.0.0, 10.5.1.1, 10.4.1.1, 8.11.2.2, 8.10.0.11 d'ArubaOS.
Statut d'exploitation: Aruba Networking n'a pas connaissance d'un PoC public ou d'une exploitation active au moment de la divulgation.
CensysLe point de vue de la Commission: A partir du 3 mai 2024, Censys a observé 180+ hôtes utilisant ArubaOS, détectés par le biais d'un service SNMP exposé - bien qu'il s'agisse probablement d'une sous-estimation du nombre total d'hôtes exposés. Près de la moitié d'entre eux utilisent une version en fin de vie.
Détection:
Censys Requête de recherche pour les appareils ArubaOS exposés : services.software : (vendor : "Aruba Networks" and product : "ArubaOS")
Censys Les clients ASM peuvent utiliser la requête de risque suivante pour rechercher les dispositifs ArubaOS vulnérables exposés dans leur réseau et détectables par le biais d'un service SNMP : risks.name="Installation ArubaOS vulnérable [CVE-2024-26304, CVE-2024-26305, CVE-2024-33511]". Les appareils concernés seront associés à l'espace de travail ASM de votre organisation dans un délai d'environ 24 heures.
Contexte
Le 30 avril 2024, Aruba Networking, une filiale de Hewlett Packard Enterprise (HPE), a dévoilé dix vulnérabilités ont été révélées dans son système d'exploitation ArubaOSdont quatre sont des bogues critiques de débordement de mémoire tampon non authentifié qui pourraient conduire à l'exécution de code à distance (RCE) : CVE-2024-26305, CVE-2024-26304, CVE-2024-3351et CVE-2024-33512
ArubaOS équipe les différents contrôleurs, passerelles, commutateurs et points d'accès qui composent l'infrastructure LAN filaire et sans fil d'Aruba Networking, conçue pour réseaux d'entreprised'entreprise, tels que les campus et les bureaux. Ces vulnérabilités affectent spécifiquement quelques-uns de leurs contrôleurs et passerelles, à savoir : Mobility Conductor, Mobility Controllers, WLAN Gateways et SD-WAN Gateways gérés par Aruba Central.
Conséquences potentielles d'une exploitation réussie : Un acteur de la menace pourrait potentiellement exploiter l'une de ces vulnérabilités en envoyant un paquet HTTP élaboré au port UDP (8211) utilisé par le PAPI (protocole de gestion des points d'accès d'Aruba). En cas de succès, cette exploitation pourrait permettre à l'acteur de la menace de d'exécuter du code arbitraire avec des privilèges élevés sur le système d'exploitation sous-jacent sur le périphérique réseau.
Cela représente une menace pour l'intégrité du réseau d'une organisation - la compromission d'un appareil peut potentiellement conduire à un mouvement latéral et à une interruption des services Wi-Fi. En contrôlant les appareils du réseau local, un acteur menaçant pourrait manipuler le trafic, intercepter des données sensibles et provoquer des temps d'arrêt du réseau et des interruptions de service.
Aruba Networking a déclaré ne pas avoir connaissance d'un PoC public ou d'une exploitation active pour le moment. pas connaissance d'un PoC public ou d'une exploitation active à l'heure actuelle.
CensysLe point de vue de la Commission
A partir du vendredi 3 mai 2024Censys a observé plus de 180 hôtes utilisant ArubaOS exposé. Il s'agit d'une empreinte Internet relativement faible, mais notez que ces chiffres sous-estiment probablement le nombre total d'appareils exposés, car Censys n'observe que les appareils ArubaOS qui exposent un service SNMP, en particulier ceux qui utilisent SNMP v1 ou v2. En effet, SNMPv3 nécessite une authentification de l'utilisateur avant d'accéder aux informations de l'appareil.
Un peu moins de la moitié est hébergée en Hongrie, dans un réseau appelé DRAVANET-AS.
Carte de Censys-Hôtes visibles exposant ArubaOS via un service SNMP sur l'Internet public au 3 mai 2024
Pays |
Nombre d'hôtes |
Pourcentage |
Hongrie |
94 |
49.74% |
États-Unis |
13 |
6.88% |
Roumanie |
12 |
6.35% |
Espagne |
10 |
5.29% |
Taïwan |
8 |
4.23% |
Top 5 des pays dont les hôtes exposent ArubaOS
Sur l'ensemble des hôtes exposés, nous avons observé qu'un service présentait des signes de correction. 89, soit près de la moitiésemblent utiliser la version 8.9.0.2, une version EOL potentiellement vulnérable à cet exploit.
Recommandations pour la remédiation
Des correctifs sont disponibles pour les clients qui utilisent les versions suivantes.pour les clients utilisant les versions suivantes, et peuvent être téléchargés à partir du portail d'assistance HPE Networking.
Versions de logiciels vulnérables |
Rapiécer |
10.5.x.x (10.5.1.0 et moins) |
10.5.x.x : 10.5.1.1 et supérieur |
10.4.x.x (10.4.1.0 et moins) |
10.4.x.x : 10.4.1.1 et supérieur |
8.11.x.x (8.11.2.1 et moins) |
8.11.x.x : 8.11.2.2 et supérieur |
8.10.x.x (8.10.0.10 et moins) |
8.10.x.x : 8.10.0.11 et supérieur |
Ces versions des logiciels ArubaOS et SD-WAN sont en fin de vie et ne feront pas l'objet de correctifs :
- ArubaOS 10.3.x.x
- ArubaOS 8.9.x.x
- ArubaOS 8.8.x.x
- ArubaOS 8.7.x.x
- ArubaOS 8.6.x.x
- ArubaOS 6.5.4.x
- SD-WAN 8.7.0.0-2.3.0.x
- SD-WAN 8.6.0.4-2.2.x.x
Il est également recommandé d'activer la sécurité renforcée de l'interface PAPI : https://www.arubanetworks.com/techdocs/ArubaOS_74_Web_Help/Content/mas_guides/system_overview/PAPI_Enhanced_Security.htm
Références :