Vulnerabilidades de evasión de controles de acceso y ejecución de código arbitrario en productos HPE Aruba

08/09/2023 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a productos HPE Aruba, que permitirían a un atacante evadir los controles de acceso, realizar ejecución de código arbitrario y obtener acceso a información confidencial del sistema afectado. 

Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación: 

  • CVE-2023-38484 y CVE-2023-38485, ambas de severidad “Alta” y con puntuación asignada de 8.0. Estas vulnerabilidades se deben a una falla en la implementación del BIOS en HPE Aruba Networking 9200 Series Mobility Controllers y SD-WAN Gateways. Esto permitiría a un atacante realizar ejecución de código arbitrario y obtener acceso a información sensible subyacente en el controlador del sistema afectado. 
  • CVE-2023-38486, de severidad “Alta” y con puntuación asignada de 7.7. Esta vulnerabilidad se debe a una falla en la implementación de arranque seguro en HPE Aruba Networking 9200 Series Mobility Controllers y SD-WAN Gateways. Esto permitiría a un atacante evadir los controles de acceso de seguridad, realizar ejecución de códigos arbitrarios, incluidas imágenes de SO no verificadas y sin firmar. 

Algunos productos afectados son:  

  • HPE Aruba Networking 9200 Series Mobility Controllers y SD-WAN Gateways. 
  • HPE Aruba Networking 9000 Series Mobility Controllers y SD-WAN Gateways. 
  • ArubaOS 10.4.xx: 10.4.0.1 y anteriores. 
  • ArubaOS 8.11.xx: 8.11.1.0 y anteriores. 

Puede acceder al listado completo de productos afectados aquí 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

Referencias: 

Compartir: