[Warning] Kritische Sicherheitslücken in ArubaOS und Aruba InstantOS - Updates verfügbar
Robert Waldner
waldner at cert.at
Wed May 10 16:50:04 CEST 2023
10. Mai 2023
Beschreibung
In ArubaOS und Aruba InstantOS, den Betriebssystemen vieler Geräte von HPE
Aruba Networks, existieren mehrere teils kritische Sicherheitslücken.
CVE-Nummer(n): CVE-2023-22779, CVE-2023-22780, CVE-2023-22781, CVE-2023-22782,
CVE-2023-22783, CVE-2023-22784, CVE-2023-22785, CVE-2023-22786,
CVE-2023-22787, CVE-2023-22788, CVE-2023-22789, CVE-2023-22790, CVE-2023-22791
CVSSv3 Overall Score: bis 9.8
Auswirkungen
Da Angreifende auf betroffenen Geräten beliebigen Code ausführen können, sind
alle auf diesen Geräten befindlichen und darüber erreichbaren Daten gefährdet.
Da es sich um Netzwerkkomponenten handelt, sind auch Szenarien denkbar wo
darüber fliessende Daten gelesen, beeinträchtigt und/oder verändert werden können.
Betroffene Systeme
Aruba Access Points auf denen folgende Betriebssystem-Versionen laufen:
ArubaOS 10.3.x: 10.3.1.0 und darunter
Aruba InstantOS 8.10.x: 8.10.0.4 und darunter
Aruba InstantOS 8.6.x: 8.6.0.19 und darunter
Aruba InstantOS 6.5.x: 6.5.4.23 und darunter
Aruba InstantOS 6.4.x: 6.4.4.8-4.2.4.20 und darunter
Weiters betroffen sind folgende nicht mehr unterstützte ("End of life")
Versionen, für die es keine Updates mehr geben wird:
InstantOS 8.4.x bis 8.9.x
Abhilfe
Einspielen der entsprechenden fehlerbereinigten Versionen.
Aktivieren von "cluster-security" kann ein Ausnutzen der schwersten Lücke auf
Geräten mit Aruba InstantOS 8.x und 6.x auch verhindern. Aruba weist darauf
hin, dass dies keine Option für Geräte mit ArubaOS 10 ist.
Wo ein Einspielen der fehlerbereinigten Versionen nicht möglich ist, bleibt
als Workaround für die schwerste Lücke nur ein Blocken von Paketen an UDP Port
8211 von nicht-vertrauenswürdigen Netzwerken, etwa durch vorgelagerte Firewalls.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei
insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen
sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Warnung von Aruba Networks (englisch):
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt
Artikel bei Heise:
https://www.heise.de/news/Kritische-Schwachstellen-ermoeglicht-Uebernahme-von-Aruba-Access-Points-8992292.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// https://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der CERT.at GmbH
// https://cert.at/ - Firmenbuchnummer 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20230510/6ff37f3d/attachment.sig>
More information about the Warning
mailing list