[Warning] Kritische Sicherheitslücken in ArubaOS - Updates teilweise verfügbar

Robert Waldner waldner at cert.at
Thu Mar 2 12:28:56 CET 2023 

2. März 2023

Beschreibung

    In ArubaOS, dem Betriebssystem vieler Geräte von HPE Aruba Networks,
    existieren mehrere teils kritische Sicherheitslücken.

    CVE-Nummer(n): CVE-2021-3712, CVE-2023-22747, CVE-2023-22748,
    CVE-2023-22749, CVE-2023-22750, CVE-2023-22751, CVE-2023-22752,
    CVE-2023-22753, CVE-2023-22754, CVE-2023-22755, CVE-2023-22756,
    CVE-2023-22757, CVE-2023-22758, CVE-2023-22759, CVE-2023-22760,
    CVE-2023-22761, CVE-2023-22762, CVE-2023-22763, CVE-2023-22764,
    CVE-2023-22765, CVE-2023-22766, CVE-2023-22767, CVE-2023-22768,
    CVE-2023-22769, CVE-2023-22770, CVE-2023-22771, CVE-2023-22772,
    CVE-2023-22773, CVE-2023-22774, CVE-2023-22775, CVE-2023-22776,
    CVE-2023-22777, CVE-2023-22778

    CVSSv3 Overall Score: bis 9.8

Auswirkungen

    Da Angreifende auf betroffenen Geräten beliebigen Code ausführen
    können, sind alle auf diesen Geräten befindlichen und darüber
    erreichbaren Daten gefährdet. Da es sich um Netzwerkkomponenten
    handelt, sind auch Szenarien denkbar wo darüber fliessende Daten
    gelesen, beeinträchtigt und/oder verändert werden können.

Betroffene Systeme

    Aruba Mobility Conductor (früher Mobility Master), Aruba Mobility
    Controllers, WLAN Gateways und SD-WAN Gateways managed by Aruba
    Central mit folgenden Versionen von ArubaOS bzw. SD-WAN OS:
      * ArubaOS 8.6.x.x: 8.6.0.19 und früher
      * ArubaOS 8.10.x.x: 8.10.0.4 und früher
      * ArubaOS 10.3.x.x: 10.3.1.0 und früher
      * SD-WAN 8.7.0.0-2.3.0.x: 8.7.0.0-2.3.0.8 und früher

    Weiters betroffen sind folgende nicht mehr unterstützte ("End of
    life") Versionen, für die es keine Updates mehr geben wird:
      * ArubaOS 6.5.4.x
      * ArubaOS 8.7.x.x
      * ArubaOS 8.8.x.x
      * ArubaOS 8.9.x.x
      * SD-WAN 8.6.0.4-2.2.x.x

Abhilfe

    Einspielen der entsprechenden fehlerbereinigten Versionen. Wo dies
    nicht möglich ist, kann manchen der Fehler auch temporär durch
    folgenden Workaround begegnet werden: aktivieren von "Enhanced PAPI
    Security" mit einem nicht-Default Key.

Hinweis

    Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
    dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
    Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
      __________________________________________________________________

Informationsquelle(n):

    Warnung von Aruba Networks (englisch)
    https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt

    Artikel bei Bleeping Computer (englisch)
    https://www.bleepingcomputer.com/news/security/aruba-networks-fixes-six-critical-vulnerabilities-in-arubaos/


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// https://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der CERT.at GmbH
// https://cert.at/ - Firmenbuchnummer 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20230302/44a0c6c2/attachment.sig>

More information about the Warning mailing list