4 RCE в оборудовании HPE Aru­ba Net­work­ing. Все 4 уязвимости касаются переполнения буфера в различных сервисах ArubaOS — это специализированная операционная система для сетевого оборудования (коммутаторы, точки доступа, шлюзы и т.д.). В основном фокус у компании на беспроводных сетях.

Все 4 уязвимости эксплуатируются через запросы к Process Appli­ca­tion Pro­gram­ming Inter­face (PAPI), UDP порт 8211, аутентификация не требуется. У всех СVSS 9.8.

Уязвимые продукты:

🔻 Mobil­i­ty Con­duc­tor (for­mer­ly Mobil­i­ty Mas­ter)
🔻 Mobil­i­ty Con­trollers
🔻 Aru­ba Cen­tral man­ages WLAN Gate­ways and SD-WAN Gate­ways

Обновления доступны для минорных версий ArubaOS 8 и 10. Также уязвимости подвержены легаси-версии ArubaOS и SD-WAN.

Самое время проверить нет ли в вашей сетке чего-нибудь от HPE Aru­ba, пока не появились публичные эксплоиты. 😉