SISTEMAS AFECTADOS
- ClearPass Policy Manager 6.10.x anterior a 6.10.2
- ClearPass Policy Manager 6.9.x anterior a 6.9.7-HF1
- ClearPass Policy Manager 6.8.x anterior a 6.8.9-HF1
- ClearPass Policy Manager 6.7.x and earlier [Fuera de soporte]
DESCRIPCIÓN
Aruba Network ha hecho publico la identificacion de varias vulnerabilidades en varias versiones de sus productos siendo las mas severas la posibilidad de un ciberatacante vulnerar el sistema de autenticación, la posibilidad de ejecutar un SQL-Injection pudiendo inclusive modificar registros de la base de datos asi como tambien la posibilidad de acceder a datos sensitivos del sistema vulnerado y la posibilidad de ejecutar código remoto arbitrario.
REFERENCIA
- CVE-2021-20996
- CVE-2021-37736
- CVE-2021-37737
- CVE-2021-37738
- CVE-2021-37739
- CVE-2021-40986
- CVE-2021-40987
- CVE-2021-40988
- CVE-2021-40989
- CVE-2021-40990
- CVE-2021-40991
- CVE-2021-40992
- CVE-2021-40993
- CVE-2021-40994
- CVE-2021-40995
- CVE-2021-40997
- CVE-2021-40998
- CVE-2021-40999
- https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-018.txt
SOLUCIÓN
Aruba Network recomienda actualizar sus sistemas las siguientes versiones:
- ClearPass Policy Manager 6.10.x: a la 6.10.2 o superior
- ClearPass Policy Manager 6.9.x: a la 6.9.7-HF1 o superior
- ClearPass Policy Manager 6.8.x: a la 6.8.9-HF1 o superior
Para minimizar la probabilidad de que un atacante materialice algunas de estas vulnerabilidades, se recomienda restringir la consola CLI Web-based y la web-based management interfaces for ClearPass Policy Manager sea restringida solamente a ser accesible via segmentación de capa 2.
Suscríbete a nuestro boletín de alertas
Enlaces de interés
- CNCS e Idoppril suscriben acuerdo en favor de ciberseguridad nacional
- República Dominicana reúne a líderes de los Equipos de Respuesta ante Incidentes Cibernéticos (CSIRT’s) nacionales de América Latina y el Caribe
- Centro de Ciberseguridad presenta Plataforma de Concientización en Ciberseguridad al Infotep
- CNCS e Idoppril suscriben acuerdo en favor de ciberseguridad nacional
- República Dominicana reúne a líderes de los Equipos de Respuesta ante Incidentes Cibernéticos (CSIRT’s) nacionales de América Latina y el Caribe
- Centro de Ciberseguridad presenta Plataforma de Concientización en Ciberseguridad al Infotep