Kritische Sicherheitslücken in ArubaOS und Aruba InstantOS - Updates verfügbar

10. Mai 2023

Beschreibung

In ArubaOS und Aruba InstantOS, den Betriebssystemen vieler Geräte von HPE Aruba Networks, existieren mehrere teils kritische Sicherheitslücken.

CVE-Nummer(n): CVE-2023-22779, CVE-2023-22780, CVE-2023-22781, CVE-2023-22782, CVE-2023-22783, CVE-2023-22784, CVE-2023-22785, CVE-2023-22786, CVE-2023-22787, CVE-2023-22788, CVE-2023-22789, CVE-2023-22790, CVE-2023-22791

CVSSv3 Overall Score: bis 9.8

Auswirkungen

Da Angreifende auf betroffenen Geräten beliebigen Code ausführen können, sind alle auf diesen Geräten befindlichen und darüber erreichbaren Daten gefährdet. Da es sich um Netzwerkkomponenten handelt, sind auch Szenarien denkbar wo darüber fliessende Daten gelesen, beeinträchtigt und/oder verändert werden können.

Betroffene Systeme

Aruba Access Points auf denen folgende Betriebssystem-Versionen laufen:

  • ArubaOS 10.3.x: 10.3.1.0 und darunter
  • Aruba InstantOS 8.10.x: 8.10.0.4 und darunter
  • Aruba InstantOS 8.6.x: 8.6.0.19 und darunter
  • Aruba InstantOS 6.5.x: 6.5.4.23 und darunter
  • Aruba InstantOS 6.4.x: 6.4.4.8-4.2.4.20 und darunter

Weiters betroffen sind folgende nicht mehr unterstützte ("End of life") Versionen, für die es keine Updates mehr geben wird:

  • InstantOS 8.4.x bis 8.9.x

Abhilfe

Einspielen der entsprechenden fehlerbereinigten Versionen. 

Aktivieren von "cluster-security" kann ein Ausnutzen der schwersten Lücke auf Geräten mit Aruba InstantOS 8.x und 6.x auch verhindern. Aruba weist darauf hin, dass dies keine Option für Geräte mit ArubaOS 10 ist.

Wo ein Einspielen der fehlerbereinigten Versionen nicht möglich ist, bleibt als Workaround für die schwerste Lücke nur ein Blocken von Paketen an UDP Port 8211 von nicht-vertrauenswürdigen Netzwerken, etwa durch vorgelagerte Firewalls.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Warnung von Aruba Networks (englisch)
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt

Artikel bei Heise:
https://www.heise.de/news/Kritische-Schwachstellen-ermoeglicht-Uebernahme-von-Aruba-Access-Points-8992292.html