Kritische Sicherheitslücken in ArubaOS - Updates teilweise verfügbar

2. März 2023

Beschreibung

In ArubaOS, dem Betriebssystem vieler Geräte von HPE Aruba Networks, existieren mehrere teils kritische Sicherheitslücken.

CVE-Nummer(n): CVE-2021-3712, CVE-2023-22747, CVE-2023-22748, CVE-2023-22749, CVE-2023-22750, CVE-2023-22751, CVE-2023-22752, CVE-2023-22753, CVE-2023-22754, CVE-2023-22755, CVE-2023-22756, CVE-2023-22757, CVE-2023-22758, CVE-2023-22759, CVE-2023-22760, CVE-2023-22761, CVE-2023-22762, CVE-2023-22763, CVE-2023-22764, CVE-2023-22765, CVE-2023-22766, CVE-2023-22767, CVE-2023-22768, CVE-2023-22769, CVE-2023-22770, CVE-2023-22771, CVE-2023-22772, CVE-2023-22773, CVE-2023-22774, CVE-2023-22775, CVE-2023-22776, CVE-2023-22777, CVE-2023-22778

CVSSv3 Overall Score: bis 9.8

Auswirkungen

Da Angreifende auf betroffenen Geräten beliebigen Code ausführen können, sind alle auf diesen Geräten befindlichen und darüber erreichbaren Daten gefährdet. Da es sich um Netzwerkkomponenten handelt, sind auch Szenarien denkbar wo darüber fliessende Daten gelesen, beeinträchtigt und/oder verändert werden können.

Betroffene Systeme

Aruba Mobility Conductor (früher Mobility Master), Aruba Mobility Controllers, WLAN Gateways und SD-WAN Gateways managed by Aruba Central mit folgenden Versionen von ArubaOS bzw. SD-WAN OS:

  • ArubaOS 8.6.x.x: 8.6.0.19 und früher
  • ArubaOS 8.10.x.x: 8.10.0.4 und früher
  • ArubaOS 10.3.x.x: 10.3.1.0 und früher
  • SD-WAN 8.7.0.0-2.3.0.x: 8.7.0.0-2.3.0.8 und früher

Weiters betroffen sind folgende nicht mehr unterstützte ("End of life") Versionen, für die es keine Updates mehr geben wird:

  • ArubaOS 6.5.4.x
  • ArubaOS 8.7.x.x
  • ArubaOS 8.8.x.x
  • ArubaOS 8.9.x.x
  • SD-WAN 8.6.0.4-2.2.x.x

Abhilfe

Einspielen der entsprechenden fehlerbereinigten Versionen. Wo dies nicht möglich ist, kann manchen der Fehler auch temporär durch folgenden Workaround begegnet werden: aktivieren von "Enhanced PAPI Security" mit einem nicht-Default Key.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Warnung von Aruba Networks (englisch)
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt

Artikel bei Bleeping Computer (englisch)
https://www.bleepingcomputer.com/news/security/aruba-networks-fixes-six-critical-vulnerabilities-in-arubaos/