Se han descubierto múltiples vulnerabilidades en Aruba ArubaOS. Algunas de ellas permiten que un atacante provoque la ejecución remota de código arbitrario, la denegación remota de servicio y la violación de datos.

CVE-2023-35971, CVE-2023-35972, CVE-2023-35973, CVE-2023-35974, CVE-2023-35975, CVE-2023-35976, CVE-2023-35977, CVE-2023-35978, CVE-2023-35979.

• ArubaOS versiones 8.6.xx anteriores a 8.6.0.21
• ArubaOS versiones 8.10.xx anteriores a 8.10.0.7
• ArubaOS versiones 8.11.xx anteriores a 8.11.1.1
• ArubaOS versiones 10.4.xx anteriores a 10.4.0.2

Además, el editor menciona una lista de versiones de fin de soporte para el software ArubaOS y SD-WAN. Estas versiones son vulnerables y, por lo tanto, no se parchearán:

• ArubaOS versiones 8.9.xx
• ArubaOS versiones 8.8.xx
• ArubaOS versiones 8.7.xx
• ArubaOS versiones 6.5.4.x
• SD-WAN lanza 8.7.0.0-2.3.0.x
• SD-WAN versiones 8.6.0.4-2.2.xx

Actualice los controladores de movilidad, los conductores de movilidad y las puertas de enlace para una de las siguientes versiones de ArubaOS (según corresponda) para resolver todas las vulnerabilidades descritas en la sección de detalles:

• ArubaOS 10.4.xx: 10.4.0.2 y superior
• ArubaOS 8.11.xx: 8.11.1.1 y superior
• ArubaOS 8.10.xx: 8.10.0.7 y superior
• ArubaOS 8.6.xx: 8.6.0.21 y superior

HPE Aruba Networking no evalúa ni parchea las sucursales de ArubaOS que han alcanzado su hito de fin de soporte (EoS). Para Para obtener más información sobre la política de fin de soporte de Aruba, visite: https://www.arubanetworks.com/support-services/end-of-life/

Para minimizar la probabilidad de que un atacante explote estas vulnerabilidades, HPE Aruba Networking recomienda que la CLI y las interfaces de administración basadas en la web estén restringidas a un segmento de capa 2/VLAN y/o controlado por políticas de firewall en capa 3 y superior.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es