Multiples vulnérabilités critiques dans des produits Aruba

Date de publication :

CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889[Score CVSS v3.1:9.8]

Plusieurs failles de type « débordement de mémoire tampon » dans le protocole PAPI  de produits Aruba permettent à un attaquant, en envoyant des paquets spécialement forgés au port 8211, d’exécuter du code arbitraire avec les privilèges les plus élevés.

CVE-2022-37890, CVE-2022-37891[Score CVSS v3.1:9.8]

Plusieurs failles de type « débordement de mémoire tampon » dans l’interface de gestion Web de produits Aruba permettent à un attaquant d’exécuter du code arbitraire sur le système.

CVE-2022-37892[Score CVSS v3.1:8.1]

Une faille dans l’interface de gestion Web de Aruba InstantOS et ArubaOS 10 permet à un attaquant, en injectant un script forgé dans une page Web (attaque XSS), d’exécuter du code arbitraire sur le système.

CVE-2022-20001[Score CVSS v3.1:7.5]

Un défaut dans le protocole d’échange de clés Diffie-Hellman permet à un attaquant, en envoyant des requêtes de nombres arbitraires, de provoquer un déni de service.

CVE-2022-37893[Score CVSS v3.1:7.2]

Une faille d'injection de commande authentifiée dans l'interface de ligne de commande d’Aruba InstantOS et ArubaOS 10 permet à un attaquant disposant d’un compte à administrateur d’exécuter du code arbitraire avec les privilèges les plus élevés.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Élévation de privilèges

    Déni de service

Criticité

    Score CVSS v3.1: 9.8 (critique)

La faille est activement exploitée

    Non, pour l’ensemble des vulnérabilités présentées.

Un correctif existe

    Oui, pour l’ensemble des vulnérabilités présentées.

Une mesure de contournement existe

    Oui, pour l’ensemble des vulnérabilités présentées.

La vulnérabilité exploitée est du type

 CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer

CWE-79: Improper Neutralization of Input During Web Page Generation.

CWE-322: Key Exchange without Entity Authentication

CWE-78: Improper Neutralization of Special Elements used in an OS Command

Détails sur l’exploitation

Pour les CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour les CVE-2022-37890, CVE-2022-37891, CVE-2022-20001

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-37892

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Aucun.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-37893

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Authentification compte administrateur.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour l’ensemble des vulnérabilités présentées :

    Aruba InstantOS aux versions 6.4.4.8-4.2.4.20 et versions antérieures dans la série 6.4

    Aruba InstantOS aux versions 6.5.4.23 et versions antérieures dans la série 6.5

    Aruba InstantOS aux versions 8.6.0.18 et versions antérieures dans la série 8.6

    Aruba InstantOS aux versions 8.7.1.9 et versions antérieures dans la série 8.7

    Aruba InstantOS aux versions 8.10.0.1 et versions antérieures dans la série 8.10

    ArubaOS aux versions 10.3.1.0 et versions antérieures dans la série 10.3

Solutions ou recommandations

Pour l’ensemble des vulnérabilités présentées :

  • Mettre à jour Aruba InstantOS 6.4.x: aux versions 6.4.4.8-4.2.4.21 et suivantes.
  • Mettre à jour Aruba InstantOS 6.5.x: aux versions 6.5.4.24 et suivantes.
  • Mettre à jour Aruba InstantOS 8.6.x: aux versions 8.6.0.19 et suivantes.
  • Mettre à jour Aruba InstantOS 8.7.x: aux versions 8.7.1.10 et suivantes.
  • Mettre à jour Aruba InstantOS 8.10.x: aux versions 8.10.0.2 et suivantes.
  • Mettre à jour ArubaOS 10.3.x: aux versions 10.3.1.1 et suivantes.
  • Une mesure de contournement spécifique existe pour les CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889 : l’activation de CPSec via la commande cluster-security empêchera l'exploitation des vulnérabilités dans les appareils Aruba InstantOS en versions 8.x ou 6.x. Pour les appareils ArubaOS 10, cette option n’existe pas et l'accès au port UDP/8211 doit être bloqué à partir de tous les réseaux non approuvés.
  • Concernant les autres vulnérabilités, une mesure de contournement existe : la limitation des interfaces de gestion CLI et Web à un segment de couche 2 dédié.

Liens