[Warning] Kritische Sicherheitslücken in ArubaOS - Updates teilweise verfügbar
Robert Waldner
waldner at cert.at
Thu Mar 2 12:28:56 CET 2023
2. März 2023
Beschreibung
In ArubaOS, dem Betriebssystem vieler Geräte von HPE Aruba Networks,
existieren mehrere teils kritische Sicherheitslücken.
CVE-Nummer(n): CVE-2021-3712, CVE-2023-22747, CVE-2023-22748,
CVE-2023-22749, CVE-2023-22750, CVE-2023-22751, CVE-2023-22752,
CVE-2023-22753, CVE-2023-22754, CVE-2023-22755, CVE-2023-22756,
CVE-2023-22757, CVE-2023-22758, CVE-2023-22759, CVE-2023-22760,
CVE-2023-22761, CVE-2023-22762, CVE-2023-22763, CVE-2023-22764,
CVE-2023-22765, CVE-2023-22766, CVE-2023-22767, CVE-2023-22768,
CVE-2023-22769, CVE-2023-22770, CVE-2023-22771, CVE-2023-22772,
CVE-2023-22773, CVE-2023-22774, CVE-2023-22775, CVE-2023-22776,
CVE-2023-22777, CVE-2023-22778
CVSSv3 Overall Score: bis 9.8
Auswirkungen
Da Angreifende auf betroffenen Geräten beliebigen Code ausführen
können, sind alle auf diesen Geräten befindlichen und darüber
erreichbaren Daten gefährdet. Da es sich um Netzwerkkomponenten
handelt, sind auch Szenarien denkbar wo darüber fliessende Daten
gelesen, beeinträchtigt und/oder verändert werden können.
Betroffene Systeme
Aruba Mobility Conductor (früher Mobility Master), Aruba Mobility
Controllers, WLAN Gateways und SD-WAN Gateways managed by Aruba
Central mit folgenden Versionen von ArubaOS bzw. SD-WAN OS:
* ArubaOS 8.6.x.x: 8.6.0.19 und früher
* ArubaOS 8.10.x.x: 8.10.0.4 und früher
* ArubaOS 10.3.x.x: 10.3.1.0 und früher
* SD-WAN 8.7.0.0-2.3.0.x: 8.7.0.0-2.3.0.8 und früher
Weiters betroffen sind folgende nicht mehr unterstützte ("End of
life") Versionen, für die es keine Updates mehr geben wird:
* ArubaOS 6.5.4.x
* ArubaOS 8.7.x.x
* ArubaOS 8.8.x.x
* ArubaOS 8.9.x.x
* SD-WAN 8.6.0.4-2.2.x.x
Abhilfe
Einspielen der entsprechenden fehlerbereinigten Versionen. Wo dies
nicht möglich ist, kann manchen der Fehler auch temporär durch
folgenden Workaround begegnet werden: aktivieren von "Enhanced PAPI
Security" mit einem nicht-Default Key.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Warnung von Aruba Networks (englisch)
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt
Artikel bei Bleeping Computer (englisch)
https://www.bleepingcomputer.com/news/security/aruba-networks-fixes-six-critical-vulnerabilities-in-arubaos/
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// https://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der CERT.at GmbH
// https://cert.at/ - Firmenbuchnummer 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20230302/44a0c6c2/attachment.sig>
More information about the Warning
mailing list