Multiples vulnérabilités critiques dans des produits Aruba
Date de publication :
CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889[Score CVSS v3.1:9.8]
Plusieurs failles de type « débordement de mémoire tampon » dans le protocole PAPI de produits Aruba permettent à un attaquant, en envoyant des paquets spécialement forgés au port 8211, d’exécuter du code arbitraire avec les privilèges les plus élevés.
CVE-2022-37890, CVE-2022-37891[Score CVSS v3.1:9.8]
Plusieurs failles de type « débordement de mémoire tampon » dans l’interface de gestion Web de produits Aruba permettent à un attaquant d’exécuter du code arbitraire sur le système.
CVE-2022-37892[Score CVSS v3.1:8.1]
Une faille dans l’interface de gestion Web de Aruba InstantOS et ArubaOS 10 permet à un attaquant, en injectant un script forgé dans une page Web (attaque XSS), d’exécuter du code arbitraire sur le système.
CVE-2022-20001[Score CVSS v3.1:7.5]
Un défaut dans le protocole d’échange de clés Diffie-Hellman permet à un attaquant, en envoyant des requêtes de nombres arbitraires, de provoquer un déni de service.
CVE-2022-37893[Score CVSS v3.1:7.2]
Une faille d'injection de commande authentifiée dans l'interface de ligne de commande d’Aruba InstantOS et ArubaOS 10 permet à un attaquant disposant d’un compte à administrateur d’exécuter du code arbitraire avec les privilèges les plus élevés.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Élévation de privilèges
- Déni de service
Criticité
- Score CVSS v3.1: 9.8 (critique)
La faille est activement exploitée
- Non, pour l’ensemble des vulnérabilités présentées.
Un correctif existe
- Oui, pour l’ensemble des vulnérabilités présentées.
Une mesure de contournement existe
- Oui, pour l’ensemble des vulnérabilités présentées.
La vulnérabilité exploitée est du type
- CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889, CVE-2022-37890 et CVE-2022-37891
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
CWE-79: Improper Neutralization of Input During Web Page Generation.
CWE-322: Key Exchange without Entity Authentication
CWE-78: Improper Neutralization of Special Elements used in an OS Command
Détails sur l’exploitation
Pour les CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour les CVE-2022-37890, CVE-2022-37891, CVE-2022-20001
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-37892
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-37893
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Authentification compte administrateur.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour l’ensemble des vulnérabilités présentées :
- Aruba InstantOS aux versions 6.4.4.8-4.2.4.20 et versions antérieures dans la série 6.4
- Aruba InstantOS aux versions 6.5.4.23 et versions antérieures dans la série 6.5
- Aruba InstantOS aux versions 8.6.0.18 et versions antérieures dans la série 8.6
- Aruba InstantOS aux versions 8.7.1.9 et versions antérieures dans la série 8.7
- Aruba InstantOS aux versions 8.10.0.1 et versions antérieures dans la série 8.10
- ArubaOS aux versions 10.3.1.0 et versions antérieures dans la série 10.3
Solutions ou recommandations
Pour l’ensemble des vulnérabilités présentées :
- Mettre à jour Aruba InstantOS 6.4.x: aux versions 6.4.4.8-4.2.4.21 et suivantes.
- Mettre à jour Aruba InstantOS 6.5.x: aux versions 6.5.4.24 et suivantes.
- Mettre à jour Aruba InstantOS 8.6.x: aux versions 8.6.0.19 et suivantes.
- Mettre à jour Aruba InstantOS 8.7.x: aux versions 8.7.1.10 et suivantes.
- Mettre à jour Aruba InstantOS 8.10.x: aux versions 8.10.0.2 et suivantes.
- Mettre à jour ArubaOS 10.3.x: aux versions 10.3.1.1 et suivantes.
- Une mesure de contournement spécifique existe pour les CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889 : l’activation de CPSec via la commande cluster-security empêchera l'exploitation des vulnérabilités dans les appareils Aruba InstantOS en versions 8.x ou 6.x. Pour les appareils ArubaOS 10, cette option n’existe pas et l'accès au port UDP/8211 doit être bloqué à partir de tous les réseaux non approuvés.
- Concernant les autres vulnérabilités, une mesure de contournement existe : la limitation des interfaces de gestion CLI et Web à un segment de couche 2 dédié.