Aruba Networks a publié un correctif pour six vulnérabilités critiques trouvées dans divers de ses produits et exhorte désormais les utilisateurs à appliquer le correctif immédiatement et à éviter d'être attaqués par des cybercriminels.
Toutes les vulnérabilités ont un score de gravité de 9,8, ce qui leur donne une note "critique".
Selon la société, ces vulnérabilités peuvent être exploitées pour accorder à des tiers malveillants des privilèges élevés et la possibilité d'exécuter du code arbitraire à distance.
Correctifs et versions
Les vulnérabilités corrigées sont : CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 et CVE-2023-22750, CVE-2023-22751 et CVE-2023-22752. Ils ont été découverts par le chercheur en cybersécurité Erik de Jong, sur ces produits Aruba : ArubaOS 8.6.0.19 et versions antérieures, ArubaOS 8.10.0.4 et versions antérieures, ArubaOS 10.3.1.0 et versions antérieures, SD-WAN 8.7.0.0-2.3.0.8 et versions antérieures.
Pour s'assurer qu'ils maintiennent leurs points de terminaison (s'ouvre dans un nouvel onglet) corrigés et sécurisés, les utilisateurs doivent mettre à jour vers ces versions : ArubaOS 8.10.0.5 et supérieur, ArubaOS 8.11.0.0 et supérieur, ArubaOS 10.3.1.1 et supérieur, et SD-WAN 8.7.0.0-2.3.0.9 et supérieur.
Les utilisateurs doivent également noter que certains des produits ont atteint la fin de vie et ne recevront donc pas de mises à jour : ArubaOS 6.5.4.x, ArubaOS 8.7.xx, ArubaOS 8.8.xx, ArubaOS 8.9.xx et SD-WAN 8.6.0.4-2.2.xx
Les utilisateurs sont encouragés à utiliser des logiciels qui n'ont pas encore atteint la fin de leur vie utile et qui reçoivent des mises à jour.
Ceux qui ne peuvent pas appliquer le correctif pour quelque raison que ce soit peuvent activer le mode "Sécurité PAPI améliorée" à l'aide d'une clé autre que celle par défaut, ce qui a été considéré comme une solution de contournement valide, a rapporté BleepingComputer. Cependant, le dernier correctif Aruba corrige 15 autres défauts de gravité élevée et huit défauts de gravité moyenne, il est donc recommandé d'appliquer le correctif.
Aruba a déclaré qu'il n'y avait aucune preuve que ces failles soient de nature abusive pour le moment, mais les utilisateurs doivent être sur leurs gardes.
Via : BleepingComputer (Ouvre dans un nouvel onglet)