Aruba ha rilasciato aggiornamenti di sicurezza per EdgeConnect Enterprise Orchestrator, affrontando molteplici vulnerabilità di gravità critica che consentono ad hacker remoti di compromettere l’host.
Aruba EdgeConnect Orchestrator è una soluzione di gestione WAN ampiamente utilizzata, che offre agli utenti aziendali funzionalità di ottimizzazione, amministrazione, automazione e visibilità e monitoraggio in tempo reale.
I bug critici e facilmente sfruttabili di questo prodotto introducono rischi per i sistemi e le reti.
Le vulnerabilità risolte nell’ultima patch di Aruba sono le seguenti:
CVE-2022-37913 e CVE-2022-37914 (CVSS v3.1 – 9.8): errore di bypass dell’autenticazione nell’interfaccia di gestione basata sul Web di EdgeConnect Orchestrator, che consente a un utente malintenzionato remoto non autenticato di ignorare l’autenticazione.
Lo sfruttamento riuscito di questo bug porta un utente malintenzionato a elevare i propri privilegi ad amministratore senza credenziali, aprendo la strada alla completa compromissione dell’host.
CVE-2022-37915 (CVSS v3.1 – 9.8): bug nell’interfaccia di gestione basata sul Web di EdgeConnect Orchestrator, che consente l’esecuzione arbitraria di comandi sull’host sottostante e porta alla completa compromissione del sistema.
Le versioni che risolvono i gravi problemi di sicurezza sono le seguenti:
- Aruba EdgeConnect Enterprise Orchestrator 9.2.0.40405 e versioni successive
- Aruba EdgeConnect Enterprise Orchestrator 9.1.3.40197 e versioni successive
- Aruba EdgeConnect Enterprise Orchestrator 9.0.7.40110 e versioni successive
- Aruba EdgeConnect Enterprise Orchestrator 8.10.23.40015 e versioni successive
Le versioni precedenti non sono supportate dal fornitore e non riceveranno un aggiornamento di sicurezza per le vulnerabilità di cui sopra. Pertanto, si consiglia agli utenti di versioni precedenti di eseguire l’aggiornamento a una versione del prodotto più recente il prima possibile.
Una soluzione alternativa fornita dal fornitore nell’avviso di sicurezza consiste nel limitare la CLI del prodotto e le interfacce di gestione basate sul Web a un segmento/VLAN di livello 2 dedicato o impostare i criteri del firewall a livello 3 e superiore.
Aruba ha notato che, ad oggi, non ha rilevato lo sfruttamento attivo dei bug citati e non ha visto discussioni o exploit proof of concept che prendono di mira le vulnerabilità.
Tuttavia, considerando la criticità dei bug e l’ampia distribuzione di EdgeConnect, è lecito suggerire che gli hacker cercheranno di creare exploit per le vulnerabilità.
Anche senza un exploit PoC da utilizzare negli attacchi, gli hacker in genere iniziano le scansioni entro pochi minuti dalla divulgazione del bug per compilare elenchi con obiettivi sfruttabili per uso o vendita futuri.