HP ha publicat 3 vulnerabilitats de severitat alta que podrien permetre a un atacant obtindre accés i canviar informació confidencial subjacent en el controlador afectat, la qual cosa comprometria completament el sistema.
Anàlisi
Dues de les vulnerabilitats de severitat alta afecta la implementació de la BIOS i podrien permetre a un atacant executar codi arbitrari en les primeres etapes de la seqüència d’inici i obtindre accés per a canviar informació confidencial subjacent en el controlador afectat, la qual cosa comprometria completament el sistema. S’han assignat els identificadors CVE-2023-38484 i CVE-2023-38485 per a aquestes vulnerabilitats.
La vulnerabilitat restant afecta la implementació d’arrancada segura, i això podria permetre a un atacant eludir els controls de seguretat que normalment prohibirien l’execució d’imatges del kernel sense signar. Aquest podria utilitzar aquesta vulnerabilitat per a executar sistemes operatius en temps d’execució arbitraris, incloses imatges de sistema operatiu no verificades i sense signar. S’ha assignat l’identificador CVE-2023-38486 per a aquesta vulnerabilitat.
Recursos afectats
- Controladors de mobilitat i portes d’enllaç SD-WAN de la sèrie 9200 i 9000:
- ArubaOS 10.4.xx: 10.4.0.1 i anteriors;
- ArubaOS 8.11.xx: 8.11.1.0 i anteriors;
- ArubaOS 8.10.xx: 8.10.0.6 i anteriors;
- ArubaOS 8.6.xx: 8.6.0.21 i anteriors.
- Controladors de mobilitat i portes d’enllaç SD-WAN de la sèrie 9200 i 9000:
- Les següents versions, que es troben en fi de suport, també estan afectades:
- ArubaOS 10.3.x.x;
- ArubaOS 8.9.x.x;
- ArubaOS 8.8.x.x;
- ArubaOS 8.7.x.x;
- ArubaOS 6.5.4.x;
- SD-WAN 8.7.0.0-2.3.0.x;
- SD-WAN 8.6.0.4-2.2.x.x.
- Les següents versions, que es troben en fi de suport, també estan afectades:
Recomanacions
HPE Aruba Networking ha llançat pedaços per a ArubaOS que aborden múltiples vulnerabilitats de seguretat.
Es recomana actualitzar els recursos a les versions més recents.
Les versions en fi de suport no disposen de pedaç per a aquestes vulnerabilitats.
Referències