HPE met en garde contre des failles RCE critiques dans les points d'accès Aruba Networking

Hewlett Packard Enterprise (HPE) a publié des mises à jour pour les logiciels Instant AOS-8 et AOS-10 afin de corriger deux vulnérabilités critiques des points d’accès réseau Aruba.

Ces deux problèmes de sécurité pourraient permettre à un attaquant distant d’effectuer une injection de commandes non authentifiées en envoyant des paquets spécialement conçus au protocole de gestion des points d’accès (PAPI) d’Aruba via le port UDP 8211.

Les failles critiques sont classées CVE-2024-42509 et CVE-2024-47460 et ont été évaluées avec un score de gravité de 9,8 et 9,0, respectivement. Les deux se trouvent dans le service d’interface de ligne de commande (CLI), accessible via le protocole PAPI.

Publicité

La mise à jour corrige également quatre autres vulnérabilités de sécurité :

  • CVE-2024-47461 (score de gravité 7,2) :exécution de commandes à distance authentifiées qui pourraient permettre à un attaquant d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent
  • CVE-2024-47462 et CVE-2024-47463 (score de gravité de 7,2) : un attaquant authentifié pourrait créer des fichiers arbitraires, conduisant potentiellement à l’exécution de commandes à distance
  • CVE-2024-47464 (score de gravité de 6,8) : un attaquant authentifié l’exploitant pourrait accéder à des fichiers non autorisés via une traversée de chemin
  • Les six vulnérabilités affectent AOS-10.4.xx : 10.4.1.4 et versions antérieures, Instant AOS-8.12.xx : 8.12.0.2 et versions antérieures, et Instant AOS-8.10.xx : 8.10.0.13 et versions antérieures.

    Remarques HPE dans le avis de sécurité que plusieurs autres versions du logiciel qui ont atteint leur date de fin de maintenance sont également affectées par ces failles, aucune mise à jour de sécurité ne sera disponible pour elles.

    Correctifs et solutions de contournement

    Pour remédier aux vulnérabilités des points d’accès Aruba Networking, HPE recommande aux utilisateurs de mettre à jour leurs appareils vers les versions logicielles suivantes ou plus récentes :

    • AOS-10.7.xx : mise à jour vers la version 10.7.0.0 et versions ultérieures.
    • AOS-10.4.xx : mise à jour vers la version 10.4.1.5 ou ultérieure.
    • Instant AOS-8.12.xx : mise à jour vers la version 8.12.0.3 ou plus récente.
    • Instant AOS-8.10.xx : mise à jour vers la version 8.10.0.14 ou supérieure
    • HPE a également fourni des solutions de contournement pour les six failles afin d’aider dans les cas où les mises à jour logicielles ne peuvent pas être installées immédiatement :

      Pour les deux failles critiques, la solution de contournement proposée consiste à restreindre/bloquer l’accès au port UDP 8211 à partir de tous les réseaux non fiables.

      Pour le reste des problèmes, le fournisseur recommande de restreindre l’accès à la CLI et aux interfaces de gestion Web en les plaçant sur un segment dédié de couche 2 ou VLAN, et de contrôler l’accès avec des politiques de pare-feu au niveau de la couche 3 et au-dessus, ce qui limiterait les risques potentiels. exposition.

      Aucune exploitation active des failles n’a été observée, mais l’application des mises à jour de sécurité et/ou des atténuations constitue une forte recommandation.

5/5 - (124 votes)
Publicité
Article précédentLes figurines Xenoblade Amiibo sont de retour en stock
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici