TLP:CLEAR PAP:WHITE
Aviso de seguridad sobre productos de redes HPE Aruba
Descripción
HPE Aruba Networking ha lanzado parches para EdgeConnect SD-WAN Orquestador que aborda múltiples vulnerabilidades de seguridad.
- Vulnerabilidades de secuencias de comandos entre sitios (XSS) almacenadas autenticadas en la interfaz de administración web de EdgeConnect SD-WAN Orchestrator (CVE-2023-37421, CVE-2023-37422, CVE-2023-37423).
- Ejecución remota de código no autenticado en la interfaz de administración basada en web de EdgeConnect SD-WAN Orchestrator (CVE-2023-37424).
- Vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenadas no autenticadas en la interfaz de administración basada en web de EdgeConnect SD-WAN Orchestrator (CVE-2023-37425).
- Claves de host estáticas SSH compartidas en EdgeConnect SD-WAN Orchestrator (CVE-2023-37426).
- Ejecución remota de código autenticado en la interfaz de administración basada en web de EdgeConnect SD-WAN Orchestrator (CVE-2023-37427).
- Ejecución remota de código autenticado a través de recorrido de ruta en la interfaz de administración basada en web de EdgeConnect SD-WAN Orchestrator (CVE-2023-37428).
- Vulnerabilidades de inyección SQL autenticadas en la interfaz de administración basada en web de EdgeConnect SD-WAN Orchestrator (CVE-2023-37429, CVE-2023-37430, CVE-2023-37431, CVE-2023-37432, CVE-2023-37433, CVE-2023- 37434, CVE-2023-37435, CVE-2023-37436, CVE-2023-37437, CVE-2023-37438).
- Secuencias de comandos entre sitios reflejadas en la interfaz de administración web de EdgeConnect SD-WAN Orchestrator (CVE-2023-37439).
- Falsificación de solicitud del lado del servidor autenticada (SSRF) que conduce a la divulgación de información (CVE-2023-37440).
Productos afectados
- EdgeConnect SD-WAN Orchestrator (autohospedado, local)
- EdgeConnect SD-WAN Orchestrator (IaaS en la nube pública y autohospedado)
- EdgeConnect SD-WAN Orchestrator-as-a-Service
- EdgeConnect SD-WAN Orchestrator-SP Tenant Orchestrators
- EdgeConnect SD-WAN Orchestrator Global Enterprise Tenant Orchestrators
- Orchestrator 9.3.x: Orchestrator 9.3.0 (todas las versiones) y versiones anteriores
- Orchestrator 9.2.x: Orchestrator 9.2.5 (todas las versiones) y versiones anteriores
- Orchestrator 9.1.x: Orchestrator 9.1.7 (todas las versiones) y versiones anteriores
- Orchestrator 9.0.x: todas las versiones
- Cualquier rama anterior de Orchestrator que no se mencione específicamente
Riesgo
Alto
Soluciones
Para parchear completamente las vulnerabilidades descritas anteriormente, incluidas las vulnerabilidades autenticadas de menor gravedad que requieren acceso administrativo existente, los clientes deben actualizar a la siguiente rama y versión:
- Orchestrator 9.3.x: Orchestrator 9.3.1 (todas las versiones) y superiores.
- EdgeConnect SD-WAN Orchestrator (autohospedado, local)
- EdgeConnect SD-WAN Orchestrator (IaaS en la nube pública y autohospedado)
- EdgeConnect SD-WAN Orchestrator-as-a-Service
- EdgeConnect SD-WAN Orchestrator-SP Tenant Orchestrators
- EdgeConnect SD-WAN Orchestrator Global Enterprise Tenant Orchestrators
- Orchestrator 9.3.x: Orchestrator 9.3.1 (todas las versiones) y superiores (se espera que esté disponible a finales de agosto de 2023)
- Orchestrator 9.2.x: Orchestrator 9.2.6 (todas las versiones) y superiores
- Orchestrator 9.1.x: Orchestrator 9.1.8 (todas las versiones) y superiores
- EdgeConnect SD-WAN Orchestrator-SP Tenant Orchestrators
- Los proveedores de servicios deben actualizar todos los tenants a una versión parcheada mencionada anteriormente.
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es