Kritische Sicherheitslücken in ArubaOS - Updates verfügbar
02. Mai 2024
Beschreibung
In ArubaOS, dem Betriebssystem vieler Geräte von HPE Aruba Networks, existieren mehrere kritische Sicherheitslücken. Diese ermöglichen unter anderem die Ausführung von beliebigem Code und Denial-of-Service (DoS) Angriffe.
CVE-Nummern: CVE-2024-26304, CVE-2024-26305, CVE-2024-33511, CVE-2024-33512, CVE-2024-33513, CVE-2024-33514, CVE-2024-33515, CVE-2024-33516, CVE-2024-33517, CVE-2024-33518
CVSSv3 Scores: bis zu 9.8 (kritisch)
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und ohne Authentifizierung beliebigen Code mit Administratorrechten ausführen. Zudem sind Denial-of-Service Angriffe möglich, die zu Unterbrechungen des normalen Betriebs führen. Da es sich meist um Netzwerkgeräte handelt, sind darüber laufende Daten gefährdet.
Betroffene Systeme
Betroffen sind folgende ArubaOS Versionen:
- ArubaOS 10.5.x.x: 10.5.1.0 und darunter
- ArubaOS 10.4.x.x: 10.4.1.0 und darunter
- ArubaOS 8.11.x.x: 8.11.2.1 und darunter
- ArubaOS 8.10.x.x: 8.10.0.10 und darunter
Nicht mehr unterstützte Versionen ohne Patches:
- ArubaOS 10.3.x.x, 8.9.x.x, 8.8.x.x, 8.7.x.x, 8.6.x.x, 6.5.4.x
- SD-WAN 8.7.0.0-2.3.0.x, 8.6.0.4-2.2.x.x
Abhilfe
HPE Aruba stellt für die unterstützten Versionen Updates bereit, welche die Schwachstellen beheben.
Als Workaround kann in ArubaOS 8.x die Funktion "Enhanced PAPI Security" mit einem nicht-standardmäßigen Schlüssel die meisten Schwachstellen verhindern. Für ArubaOS 10.x wird dringend das Update empfohlen.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Warnung von Aruba Networks (englisch)
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-004.txt
Artikel bei Heise:
https://www.heise.de/news/Sicherheitsupdates-Angreifer-koennen-WLAN-Gateways-von-Aruba-kompromittieren-9705095.html