AccueilActualités informatiqueRachat possible : des failles de sécurité dans les commutateurs d'Aruba, filiale...

Rachat possible : des failles de sécurité dans les commutateurs d’Aruba, filiale de HPE

Le fournisseur d’équipement réseau Aruba, une filiale de Hewlett-Packard, met en garde contre plusieurs failles de sécurité dans le firmware AOS-CX des commutateurs câblés de l’entreprise. Les utilisateurs enregistrés pourraient ainsi exécuter du code avec des droits élevés et prendre le contrôle complet d’un appareil concerné.

Sommaire

Sur la ligne de commande, des vulnérabilités permettraient à des attaquants authentifiés d’introduire des commandes exécutées avec des privilèges élevés dans le système d’exploitation et de le compromettre complètement (CVE-2021-41000, CVSS 8.8, risque élevé). Lors de l’échange de clés Diffie-Hellmann, les attaquants pourraient déclencher un déni de service, car une attaque D(HE)ater est possible – des valeurs manipulées transmises conduisent à des calculs excessifs et par conséquent à des appareils paralysés (CVE-2002-20001, CVSS 7.5, haut).

Une autre faille permettrait à des attaquants authentifiés d’accéder sans autorisation aux informations en texte clair de la gestion Web des commutateurs, exposant ainsi une autre infrastructure réseau, ce qui pourrait conduire à une compromission supplémentaire (CVE-2021-3712, CVSS 7.4, haut). En outre, des utilisateurs connectés pourraient exécuter des commandes arbitraires dans le système d’exploitation à l’aide de scripts manipulés pour le moteur d’analyse réseau (NAE) et prendre ainsi le contrôle total du commutateur (CVE-2021-41001, CVSS 7.2, haut).

Des attaquants non authentifiés pourraient exploiter des failles de cross-site scripting afin d’exécuter du code arbitraire dans le navigateur Web (CVE-2021-41003, CVSS 6.1, moyen). De plus, les clés privées des certificats X.509 pourraient être récupérées en raison de vulnérabilités (plusieurs CVE, CVSS 5.9, moyen). La dernière faille décrite concerne la ligne de commande et met en danger l’intégrité des fichiers système critiques par une vulnérabilité de traversée de chemin. Les attaquants pourraient mettre les commutateurs hors service ou modifier des informations sensibles (CVE-2021-41002, CVSS 5.5, moyen).

Selon l’avis de sécurité, les vulnérabilités concernent les commutateurs Aruba 4100i, 6100, 6200, 6300, 6400, 8320, 8325, 8360 et 8400. Les versions de micrologiciel vulnérables sont les suivantes 10.06.0170, 10.07.0050, 10.08.1030 et 10.09.0002 ainsi que les versions antérieures. Aruba précise que les erreurs pourraient également être présentes dans les versions 10.05 et antérieures du firmware qui ne sont plus prises en charge, mais que cela n’a pas été vérifié.

Les lacunes ont été comblées dans les versions de firmware 10.06.0180, 10.07.0061, 10.08.1040 ainsi que 10.09.0010 et plus récentes. Si le firmware AOS-CX 10.05.xxxx ou plus ancien est encore en cours d’exécution, Aruba recommande de le mettre à jour à la version 10.06.0180 au minimum. Les responsables informatiques devraient télécharger les mises à jour de firmware disponibles par les moyens qu’ils connaissent et les appliquer rapidement aux commutateurs.

A lire aussi :

Sujet Switches sur heise online

Plus d'articles