Aruba - CVE-2024-31466

Exécution de code arbitraire
Élévation de privilèges

La vulnérabilité exploitée est du type
CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Si les correctifs ne peuvent être déployés pour les appareils exécutant ArubaOS 8.x, il est recommandé d’activer la sécurité du cluster via la commande cluster-security.

Si les correctifs ne peuvent être déployés pour les appareils exécutant ArubaOS 10.x, il est recommandé de restreindre l’accès au port UDP/8211 aux réseaux non fiables.

Mettre à jour ArubaOS vers la version 10.4.1.1, 10.5.1.1, 10.6.0.0 ou ultérieure.
Mettre à jour InstantOS vers la version 8.6.0.24, 8.10.0.11, 8.11.2.2, 8.12.0.0 ou ultérieure.

Les versions suivantes sont en fin de vie et ne seront pas corrigées :

ArubaOS :

-    Versions 10.3.x.x toutes versions

InstantOS :

-    Versions 6.4.x.x toutes versions
-    Version 6.5.x.x toutes versions
-    Version 8.4.x.x toutes versions
-    Version 8.5.x.x toutes versions
-    Version 8.7.x.x toutes versions
-    Version 8.8.x.x toutes versions
-    Version 8.9.x.x toutes versions

Il est recommandé de mettre à niveau les produits exécutant ces versions, ou de les remplacer par des produits alternatifs.

Des informations complémentaires sont disponibles dans le bulletin d’Aruba.