Multiples vulnérabilités critiques dans des produits Aruba

Date de publication :

CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889[Score CVSS v3.1:9.8]
Plusieurs failles de type « débordement de mémoire tampon » dans le protocole PAPI  de produits Aruba permettent à un attaquant, en envoyant des paquets spécialement forgés au port 8211, d’exécuter du code arbitraire avec les privilèges les plus élevés.

CVE-2022-37890, CVE-2022-37891[Score CVSS v3.1:9.8]
Plusieurs failles de type « débordement de mémoire tampon » dans l’interface de gestion Web de produits Aruba permettent à un attaquant d’exécuter du code arbitraire sur le système.

CVE-2022-37892[Score CVSS v3.1:8.1]
Une faille dans l’interface de gestion Web de Aruba InstantOS et ArubaOS 10 permet à un attaquant, en injectant un script forgé dans une page Web (attaque XSS), d’exécuter du code arbitraire sur le système.

CVE-2022-20001[Score CVSS v3.1:7.5]
Un défaut dans le protocole d’échange de clés Diffie-Hellman permet à un attaquant, en envoyant des requêtes de nombres arbitraires, de provoquer un déni de service.

CVE-2022-37893[Score CVSS v3.1:7.2]
Une faille d'injection de commande authentifiée dans l'interface de ligne de commande d’Aruba InstantOS et ArubaOS 10 permet à un attaquant disposant d’un compte à administrateur d’exécuter du code arbitraire avec les privilèges les plus élevés.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Élévation de privilèges
  • Déni de service

Criticité

  • Score CVSS v3.1: 9.8 (critique)

La faille est activement exploitée

  • Non, pour l’ensemble des vulnérabilités présentées.

Un correctif existe

  • Oui, pour l’ensemble des vulnérabilités présentées.

Une mesure de contournement existe

  • Oui, pour l’ensemble des vulnérabilités présentées.

La vulnérabilité exploitée est du type

 CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer

CWE-79: Improper Neutralization of Input During Web Page Generation.

CWE-322: Key Exchange without Entity Authentication

CWE-78: Improper Neutralization of Special Elements used in an OS Command

Détails sur l’exploitation

Pour les CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour les CVE-2022-37890, CVE-2022-37891, CVE-2022-20001

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-37892

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-37893

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification compte administrateur.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour l’ensemble des vulnérabilités présentées :

  • Aruba InstantOS aux versions 6.4.4.8-4.2.4.20 et versions antérieures dans la série 6.4
  • Aruba InstantOS aux versions 6.5.4.23 et versions antérieures dans la série 6.5
  • Aruba InstantOS aux versions 8.6.0.18 et versions antérieures dans la série 8.6
  • Aruba InstantOS aux versions 8.7.1.9 et versions antérieures dans la série 8.7
  • Aruba InstantOS aux versions 8.10.0.1 et versions antérieures dans la série 8.10
  • ArubaOS aux versions 10.3.1.0 et versions antérieures dans la série 10.3

Solutions ou recommandations

Pour l’ensemble des vulnérabilités présentées :

  • Mettre à jour Aruba InstantOS 6.4.x: aux versions 6.4.4.8-4.2.4.21 et suivantes.
  • Mettre à jour Aruba InstantOS 6.5.x: aux versions 6.5.4.24 et suivantes.
  • Mettre à jour Aruba InstantOS 8.6.x: aux versions 8.6.0.19 et suivantes.
  • Mettre à jour Aruba InstantOS 8.7.x: aux versions 8.7.1.10 et suivantes.
  • Mettre à jour Aruba InstantOS 8.10.x: aux versions 8.10.0.2 et suivantes.
  • Mettre à jour ArubaOS 10.3.x: aux versions 10.3.1.1 et suivantes.
  • Une mesure de contournement spécifique existe pour les CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889 : l’activation de CPSec via la commande cluster-security empêchera l'exploitation des vulnérabilités dans les appareils Aruba InstantOS en versions 8.x ou 6.x. Pour les appareils ArubaOS 10, cette option n’existe pas et l'accès au port UDP/8211 doit être bloqué à partir de tous les réseaux non approuvés.
  • Concernant les autres vulnérabilités, une mesure de contournement existe : la limitation des interfaces de gestion CLI et Web à un segment de couche 2 dédié.

Liens