Aruba Networks a publié un correctif pour six vulnérabilités critiques trouvées dans un certain nombre de ses produits, et exhorte maintenant les utilisateurs à appliquer le correctif immédiatement et à éviter d’être la cible de cybercriminels.
Les vulnérabilités ont toutes un score de gravité de 9,8, ce qui leur donne la note « critique ».
Selon la société, ces vulnérabilités peuvent être exploitées pour accorder à des tiers malveillants des privilèges élevés et la possibilité d’exécuter du code arbitraire à distance.
Correctifs et versions
Les vulnérabilités corrigées sont : CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 et CVE-2023-22750, CVE-2023-22751 et CVE-2023-22752. Ils ont été découverts par le chercheur en cybersécurité Erik de Jong, dans ces produits Aruba : ArubaOS 8.6.0.19 et inférieur, ArubaOS 8.10.0.4 et inférieur, ArubaOS 10.3.1.0 et inférieur, SD-WAN 8.7.0.0-2.3.0.8 et inférieur.
Pour s’assurer qu’ils conservent leurs terminaux (s’ouvre dans un nouvel onglet) patchés et sécurisés, les utilisateurs doivent mettre à jour les produits vers ces versions : ArubaOS 8.10.0.5 et supérieur, ArubaOS 8.11.0.0 et supérieur, ArubaOS 10.3.1.1 et supérieur et SD-WAN 8.7.0.0-2.3.0.9 et supérieur.
Les utilisateurs doivent également garder à l’esprit que certains des produits ont atteint le statut de fin de vie et ne recevront donc pas les mises à jour : ArubaOS 6.5.4.x, ArubaOS 8.7.xx, ArubaOS 8.8.xx, ArubaOS 8.9.xx et SD-WAN 8.6.0.4-2.2.xx
Il est conseillé aux utilisateurs d’utiliser le logiciel qui n’a pas encore atteint sa fin de vie et qui reçoit des mises à jour.
Ceux qui ne peuvent pas appliquer le correctif pour quelque raison que ce soit peuvent activer le mode « Sécurité PAPI améliorée » à l’aide d’une clé autre que celle par défaut, ce qui était considéré comme une solution de contournement valide, a rapporté BleepingComputer. Cependant, le dernier correctif d’Aruba corrige 15 autres failles de gravité élevée et huit de gravité moyenne, il est donc toujours fortement recommandé d’appliquer le correctif.
Aruba a déclaré qu’il n’y avait aucune preuve que ces défauts soient abusés dans la nature pour le moment, mais les utilisateurs doivent être sur leurs gardes.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)