Vulnerabilitățile din HPE Aruba Network permit executarea de cod arbitrar de la distanță
Sursă: https://cybersecuritynews.com
Mai multe vulnerabilități au fost descoperite în HPE Aruba Network, afectând controlerele AOS, gateway-urile și produsele Mobility Conductor.
Mai exact, două vulnerabilități CVE-2025-23051 și CVE-2025-23052, prezintă riscuri de securitate semnificative, permițând atacatorilor să execute cod și comenzi arbitrare de la distanță.
Vulnerabilitățile afectează mai multe versiuni ale ArubaOS, necesitând atenție imediată din partea administratorilor de rețea și a organizațiilor care utilizează soluțiile HPE Aruba Networking.
Această vulnerabilitate există în cadrul interfeței de gestionare bazată pe web a sistemelor de operare AOS-8 și AOS-10. Ea permite unui utilizator autentificat să efectueze injectarea parametrilor, suprascriind potențial fișiere de sistem arbitrare.
HPE sugerează restricționarea accesului la CLI și la interfețele de administrare bazate pe web la un segment/VLAN de nivel 2 dedicat și implementarea politicilor firewall la nivelul 3 și mai sus.
Această vulnerabilitate în interfața liniei de comandă (CLI) permite unui atacator cu acces autentificat să execute comenzi arbitrare cu permisiuni de utilizator privilegiat pe sistemul de operare de bază.
La fel ca în cazul CVE-2025-23051, HPE recomandă restricționarea accesului la CLI și la interfața de administrare bazată pe web la VLAN-uri securizate și aplicarea unor politici firewall robuste.
Vulnerabilitățile afectează următoarele produse HPE Aruba Networking:
- Mobility Conductor;
- Mobility Controllers;
- WLAN and SD-WAN Gateways sunt gestionate de HPE Aruba Networking Central.
Versiuni de software afectate>
- AOS-10.4.x.x: 10.4.1.4 și inferioare;
- AOS-8.12.x.x: 8.12.0.2 și inferioare;
- AOS-8.10.x.x: 8.10.0.14 și inferioare.
Versiunile End Of Maintenance (EoM) afectate, dar fără patch-uri includ:
- AOS-10.6.x.x: toate;
- AOS-10.5.x.x: toate;
- AOS-10.3.x.x: toate;
- AOS-8.11.x.x: toate;
- AOS-8.9.x.x: toate;
- AOS-8.8.x.x: toate;
- AOS-8.7.x.x: toate;
- AOS-8.6.x.x: toate;
- AOS-6.5.4.x: toate;
- SD-WAN 8.7.0.0-2.3.0.x: toate;
- SD-WAN 8.6.0.4-2.2.x.x: toate.
HPE Aruba Networking recomandă actualizarea la următoarele versiuni ArubaOS pentru a remedia vulnerabilitățile identificate:
- AOS-10.7.x.x: 10.7.0.0 și versiunile ulterioare;
- AOS-10.4.x.x: 10.4.1.5 și versiuni ulterioare;
- AOS-8.12.x.x: 8.12.0.3 și versiuni ulterioare;
- AOS-8.10.x.x: 8.10.0.15 și versiuni ulterioare.
Aceste vulnerabilități subliniază importanța măsurilor proactive de securitate în sistemele de gestionare a rețelelor. Administratorii de rețea sunt îndemnați să ia măsuri imediate prin actualizarea sistemelor afectate și implementarea măsurilor de securitate recomandate pentru a se proteja împotriva potențialelor amenințări.
Sursă: https://cybersecuritynews.com/hpe-aruba-network/
