Vulnerabilidades Criticas en Access Points Aruba
El 24 de septiembre del año 2024 Hewlett Packard (HP) público un nuevo aviso de seguridad en el que se describían 3 vulnerabilidades (CVE-2024-42505, CVE-2024-42506, CVE-2024-42507), estas abarcan los Access Points de la subsidiaria Aruba y todas son de carácter crítico.
Las vulnerabilidades tienen lugar en el protocolo PAPI (Access Point Management Protocol) en el puerto UDP (8211), si se logra explotar de manera exitosa, se puede ganar acceso privilegiado para ejecutar código arbitrario en los dispositivos vulnerables. Afectan a las versiones Aruba Access Points con sistema operativo AOS-8 y AOS-10.
Los productos con estas versiones son los siguientes:
-
Aruba 100 Series Access Points
-
Aruba 103 Series Access Points
-
Aruba 110 Series Access Points
-
Aruba 120 Series Access Points
-
Aruba 130 Series Access Points
-
Aruba 200 Series Access Points
-
Aruba 207 Series Access Points
-
Aruba 210 Series Access Points
-
Aruba 220 Series Access Points
-
Aruba 260 Series Access Points
-
Aruba 300 Series Access Points
-
Aruba 303 Series Access Points
-
Aruba 310 Series Access Points
-
Aruba 320 Series Access Points
-
Aruba 330 Series Access Points
-
Aruba 340 Series Access Points
-
Aruba 370 Series Access Points
-
Aruba 500 Series Access Points
-
Aruba 510 Series Access Points
-
Aruba 530 Series Access Points
-
Aruba 550 Series Access Points
-
Aruba 630 Series Access Points
-
Aruba 650 Series Access Points
Actualmente, HP ha declarado que no hay indicios ni pruebas de que este conjunto de vulnerabilidades esté siendo explotada activamente, pero se recomienda instalar las versiones parcheadas.
Versiones Afectadas
|
Versión afectada |
Versión recomendada |
|
AOS-10.6.0.2 y anteriores |
AOS – 10.6.0.3 |
|
AOS-10.4.1.3 y anteriores |
AOS – 10.4.1.4 |
|
Instant AOS-8.12.0.1 |
Instant AOS – 8.12.0.2 |
|
Instant AOS-8.10.0.13 |
Instant AOS – 8.10.0.14 |
Recomendaciones
-
Actualizar el sistema operativo a una versión parchada,
- Si se cuenta con AOS-10.6.X.X actualizar a la versión 10.6.0.3 o superior
- Si se cuenta con AOS-10.4.X.X actualizar a la versión 10.4.1.4 o superior
- Si se cuenta con Instant AOS-8.12.X.X actualizar a la versión 8.12.0.2 o superior
- Si se cuenta con Instant AOS-8.10.X.X actualizar a la versión 8.10.0.14 o superior
- De otra manera también se puede instalar la versión más nueva AOS-10.7.0.0
-
Si no se puede actualizar el sistema operativo debido a que el dispositivo esta al final de su vida útil, aplicar el workaround de habilitar cluster-security para AOS-8.X si se cuenta con AOS-10.X bloquear el acceso al puerto UDP/8211 para todas las redes en las que no se confía
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Workaround:
Consiste en habilitar la opción de cluster-security mediante el mismo comando, lo que prevendrá que las vulnerabilidades sean explotadas en dispositivos que ejecuten la versión AOS-8. Sin embargo, en la versión AOS-10 no es posible aplicar este método, por lo que se debe bloquear el acceso al puerto UDP/8211 desde redes no confiables.
Referencias
- Hewlett Packard Enterprise (2024, septiembre 24) SECURITY BULLETIN. Recuperado el 30 de septiembre del 2024 en: https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04712en_us&docLocale=en_US
- Gatlan, S. (2024, septiembre 26) HPE Aruba Networking fixes critical flaws impacting Access Points. Recuperado el 30 de septiembre del 2024 en: https://www.bleepingcomputer.com/news/security/hpe-aruba-networking-fixes-three-critical-rce-flaws-impacting-its-access-points/
