Les correctifs HPE pour trois failles de sécurité critiques dans Aruba PAPI.

Les points d’accès Aruba exécutant AOS-8 et AOS-10 doivent être patchés de toute urgence après qu’HPE ait émis des correctifs pour trois failles critiques dans les points d’accès réseau de sa filiale réseau. Les problèmes permettraient à un attaquant non authentifié d’exécuter du code sur les systèmes d’Aruba en envoyant des paquets soigneusement conçus au port UDP 8211, interface de protocole d’accès propriétaire (PAPI) du système d’exploitation, ce qui accorderait à ce malfaiteur un accès privilégié à l’équipement. Les trois vulnérabilités – CVE-2024-42505, CVE-2024-42506 et CVE-2024-42507 – sont toutes classées à 9,8 sur l’échelle de gravité CVSS. Les failles concernent les versions de AOS 10.6.x.x (jusqu’à et y compris 10.6.0.2), ainsi que Instant AOS 8.12.x.x (8.12.0.1 et les versions antérieures). HPE prévient également que le code en fin de vie, y compris AOS 10.5 et 10.3, et Instant AOS-8.11 – ainsi que les incarnations antérieures – et la recommandation est de mettre à jour ces systèmes pour les protéger. « Activer la sécurité du cluster via la commande de sécurité du cluster empêchera l’exploitation de ces vulnérabilités sur les appareils exécutant le code Instant AOS-8.x », a conseillé HPE dans son alerte de sécurité. « Pour les appareils AOS-10, ce n’est pas une option et l’accès au port UDP 8211 doit être bloqué depuis tous les réseaux non fiables. »