[Warning] Kritische Sicherheitslücken in ArubaOS - Updates verfügbar

Michael Schlagenhaufer schlagenhaufer at cert.at
Thu May 2 13:45:58 CEST 2024 

    02. Mai 2024

Beschreibung

    In ArubaOS, dem Betriebssystem vieler Geräte von HPE Aruba Networks,
    existieren mehrere kritische Sicherheitslücken. Diese ermöglichen unter
    anderem die Ausführung von beliebigem Code und Denial-of-Service (DoS)
    Angriffe.

    CVE-Nummern: CVE-2024-26304, CVE-2024-26305, CVE-2024-33511,
    CVE-2024-33512, CVE-2024-33513, CVE-2024-33514, CVE-2024-33515,
    CVE-2024-33516, CVE-2024-33517, CVE-2024-33518

    CVSSv3 Scores: bis zu 9.8 (kritisch)

Auswirkungen

    Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und
    ohne Authentifizierung beliebigen Code mit Administratorrechten
    ausführen. Zudem sind Denial-of-Service Angriffe möglich, die zu
    Unterbrechungen des normalen Betriebs führen. Da es sich meist um
    Netzwerkgeräte handelt, sind darüber laufende Daten gefährdet.

Betroffene Systeme

    Betroffen sind folgende ArubaOS Versionen:
      * ArubaOS 10.5.x.x: 10.5.1.0 und darunter
      * ArubaOS 10.4.x.x: 10.4.1.0 und darunter
      * ArubaOS 8.11.x.x: 8.11.2.1 und darunter
      * ArubaOS 8.10.x.x: 8.10.0.10 und darunter

    Nicht mehr unterstützte Versionen ohne Patches:
      * ArubaOS 10.3.x.x, 8.9.x.x, 8.8.x.x, 8.7.x.x, 8.6.x.x, 6.5.4.x
      * SD-WAN 8.7.0.0-2.3.0.x, 8.6.0.4-2.2.x.x

Abhilfe

    HPE Aruba stellt für die unterstützten Versionen Updates bereit, welche
    die Schwachstellen beheben.

    Als Workaround kann in ArubaOS 8.x die Funktion "Enhanced PAPI
    Security" mit einem nicht-standardmäßigen Schlüssel die meisten
    Schwachstellen verhindern. Für ArubaOS 10.x wird dringend das Update
    empfohlen.

Hinweis

    Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
    dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
    Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
      __________________________________________________________________

Informationsquelle(n):

    Warnung von Aruba Networks (englisch)
    https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-004.txt

    Artikel bei Heise:
    https://www.heise.de/news/Sicherheitsupdates-Angreifer-koennen-WLAN-Gateways-von-Aruba-kompromittieren-9705095.html

Mit freundlichen Grüßen,
Michael Schlagenhaufer
-- 
// Michael Schlagenhaufer <schlagenhaufer at cert.at> - T: +43 1 5056416
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20240502/6f00e597/attachment.sig>

More information about the Warning mailing list