Kritische Sicherheitslücken in ArubaOS - Updates verfügbar

02. Mai 2024

Beschreibung

In ArubaOS, dem Betriebssystem vieler Geräte von HPE Aruba Networks, existieren mehrere kritische Sicherheitslücken. Diese ermöglichen unter anderem die Ausführung von beliebigem Code und Denial-of-Service (DoS) Angriffe.

CVE-Nummern: CVE-2024-26304, CVE-2024-26305, CVE-2024-33511, CVE-2024-33512, CVE-2024-33513, CVE-2024-33514, CVE-2024-33515, CVE-2024-33516, CVE-2024-33517, CVE-2024-33518

CVSSv3 Scores: bis zu 9.8 (kritisch)

Auswirkungen

Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und ohne Authentifizierung beliebigen Code mit Administratorrechten ausführen. Zudem sind Denial-of-Service Angriffe möglich, die zu Unterbrechungen des normalen Betriebs führen. Da es sich meist um Netzwerkgeräte handelt, sind darüber laufende Daten gefährdet.

Betroffene Systeme

Betroffen sind folgende ArubaOS Versionen:

  • ArubaOS 10.5.x.x: 10.5.1.0 und darunter
  • ArubaOS 10.4.x.x: 10.4.1.0 und darunter
  • ArubaOS 8.11.x.x: 8.11.2.1 und darunter
  • ArubaOS 8.10.x.x: 8.10.0.10 und darunter

Nicht mehr unterstützte Versionen ohne Patches:

  • ArubaOS 10.3.x.x, 8.9.x.x, 8.8.x.x, 8.7.x.x, 8.6.x.x, 6.5.4.x
  • SD-WAN 8.7.0.0-2.3.0.x, 8.6.0.4-2.2.x.x

Abhilfe

HPE Aruba stellt für die unterstützten Versionen Updates bereit, welche die Schwachstellen beheben.

Als Workaround kann in ArubaOS 8.x die Funktion "Enhanced PAPI Security" mit einem nicht-standardmäßigen Schlüssel die meisten Schwachstellen verhindern. Für ArubaOS 10.x wird dringend das Update empfohlen.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.


Informationsquelle(n):

Warnung von Aruba Networks (englisch)
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-004.txt

Artikel bei Heise:
https://www.heise.de/news/Sicherheitsupdates-Angreifer-koennen-WLAN-Gateways-von-Aruba-kompromittieren-9705095.html