Aruba Networks avvisa che sei vulnerabilità critiche affliggono ArubaOS, il suo sistema operativo proprietario di rete.
“Le sei vulnerabilità critiche risolte da Aruba Networks nel suo sistema operativo proprietario ArubaOS sono estremamente preoccupanti”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus. Ecco perché è urgente mettersi al riparo.
Indice degli argomenti
Sei vulnerabilità critiche in ArubaOS
Aruba Networks è la sussidiaria californiana di Hewlett Packard Enterprise, specializzata in computer networking e soluzioni di connettività wireless. L’azienda ha pubblicato un security advisory per informare i clienti su sei falle critiche che affliggono molteplici versioni di ArubaOS. Le ha scoperte l’analista di sicurezza, Erik de Jong.
Le vulnerabilità riportate appartengono a due categorie: falle a iniezione di comando (command injection) e problemi di buffer overflow stack-based nel protocollo PAPI, il protocollo di access point management di Aruba Networks.
Le vulnerabilità del primo tipo sono CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 e CVE-2023-22750, con punteggio CVSS v3 di 9.8 su 10.0.
I bug di stack-based buffer overflow sono invece CVE-2023-22751 e CVE-2023-22752, sempre catalogati con punteggio CVSS v3 di 9.8 su 10.0.
Le vulnerabilità in ArubaOS hanno un impatto su Aruba Mobility Conductor, Aruba Mobility Controllers, Aruba-managed WLAN Gateways e SD-WAN Gateways.
“Semplici da sfruttare, consentono a un attaccante di eseguire comandi arbitrari sui dispositivi vulnerabili, così come eseguire codice arbitrario, entrambe attività che possono portare alla completa compromissione dei sistemi”, spiega Paganini.
Le versioni del sistema operativo affette dal bug sono:
- ArubaOS 8.6.0.19 e inferiore;
- ArubaOS 8.10.0.4 e inferiore;
- ArubaOS 10.3.1.0 e inferiore;
- SD-WAN 8.7.0.0-2.3.0.8 e inferiore;
Le versioni aggiornate, secondo Aruba, sono:
- ArubaOS 8.10.0.5 e superiore;
- ArubaOS 8.11.0.0 e superiore;
- ArubaOS 10.3.1.1 e superiore;
- SD-WAN 8.7.0.0-2.3.0.9 e superiore.
Prodotti a fine vite
Il problema più grave riguarda le versioni dei prodotti che hanno raggiunto il fine vita, etichettati come End of Life (EoL). Sono affetti dalle stesse vulnerabilità, ma non riceveranno un update di sicurezza. Sono:
- ArubaOS 6.5.4.x
- ArubaOS 8.7.x.x
- ArubaOS 8.8.x.x
- ArubaOS 8.9.x.x
- SD-WAN 8.6.0.4-2.2.x.x
Come proteggersi
Per difendersi, bisogna aggiornare e mantenere aggiornati i sistemi operativi. Appena le aziende pubblicano avvisi di sicurezza, è urgente scaricare le patch ed installarle, per evitare che cyber criminali sfruttino vecchie e nuove vulnerabilità critiche per effettuare intrusioni.
Per evitare attacchi informatici, bisogna maturare una consapevolezza cyber. Non applicare gli aggiornamenti per mitigare la vulnerabilità è il primo gravissimo errore da evitare. Gli update sono tutti importanti e l’aggiornamento richiede immediatezza d’esecuzione.
“Va sottolineato che esistono molteplici famiglie di dispositivi che hanno raggiunto la condizione di End-of-Life e per questo motivo non riceveranno alcun aggiornamento di sicurezza”, mette in guardia Paganini: “Questi dispositivi sono pertanto maggiormente esposti ad attacchi che sfruttano queste minacce e l’unica possibilità che hanno i relativi amministratori, in attesa di passare a prodotti più aggiornati, è quella di applicare workaround raccomandati dall’azienda”.
Il problema è infatti grave per i prodotti a fine vita per i quali serve un workaround che consiste nell’abilitare la modalità “Enhanced PAPI Security” usando una chiave non-default. Purtroppo il workaround non mitiga le altre 15 falle ad elevata severità, presenti nell’elenco dell’advisory di Aruba Networks.
