![hpe_aruba](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2023/09/hpe_aruba.png)
Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a productos HPE Aruba, que permitirían a un atacante evadir los controles de acceso, realizar ejecución de código arbitrario y obtener acceso a información confidencial del sistema afectado.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2023-38484 y CVE-2023-38485, ambas de severidad “Alta” y con puntuación asignada de 8.0. Estas vulnerabilidades se deben a una falla en la implementación del BIOS en HPE Aruba Networking 9200 Series Mobility Controllers y SD-WAN Gateways. Esto permitiría a un atacante realizar ejecución de código arbitrario y obtener acceso a información sensible subyacente en el controlador del sistema afectado.
- CVE-2023-38486, de severidad “Alta” y con puntuación asignada de 7.7. Esta vulnerabilidad se debe a una falla en la implementación de arranque seguro en HPE Aruba Networking 9200 Series Mobility Controllers y SD-WAN Gateways. Esto permitiría a un atacante evadir los controles de acceso de seguridad, realizar ejecución de códigos arbitrarios, incluidas imágenes de SO no verificadas y sin firmar.
Algunos productos afectados son:
- HPE Aruba Networking 9200 Series Mobility Controllers y SD-WAN Gateways.
- HPE Aruba Networking 9000 Series Mobility Controllers y SD-WAN Gateways.
- ArubaOS 10.4.xx: 10.4.0.1 y anteriores.
- ArubaOS 8.11.xx: 8.11.1.0 y anteriores.
Puede acceder al listado completo de productos afectados aquí
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-controladores-y-puertas-de-enlace-de-hpe-aruba
- https://nvd.nist.gov/vuln/detail/CVE-2023-38484
- https://nvd.nist.gov/vuln/detail/CVE-2023-38485
- https://nvd.nist.gov/vuln/detail/CVE-2023-38486
- https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbnw04535en_us
- https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-014.txt
- https://asp.arubanetworks.com/downloads