HPE Aruba hat Sicherheitsupdates für EdgeConnect SD-WAN Gateways veröffentlicht. Betroffen sind die Release-Zweige 9.5.x.x (≤ 9.5.3.x), 9.4.x.x (≤ 9.4.3.x) sowie alle älteren/End-of-Maintenance-Versionen. Die Lücken reichen von Auth-Bypass und Command Injection bis Datenexfiltration. Besonders kritisch: CVE-2025-37124 (unauthentifizierter Transit-Traffic-Bypass) und CVE-2025-37123/-37126 (authentifizierte Befehlsausführung). CVSS bis 8.8 (v3.1), insgesamt hohes Risiko. Bulletin veröffentlicht am 16.09.2025, aktualisiert am 19.09.2025.
Empfohlene Updates:
- 9.5-Zweig: auf 9.5.4.1 oder höher
- 9.4-Zweig: auf 9.4.4.2 oder höher
- Zusätzlich: Orchestrator-Version ≥ ECOS-Version; EoM-Releases werden nicht gepatcht
Hinweise:
- Für CVE-2025-37124 und -37125 existiert kein genereller Workaround.
- Für andere Findings: Management-Interfaces auf dediziertes VLAN/L2 segmentieren, per FW-Policies/L3+ schützen, IP-Allowlisting für Orchestrator-User/API-Keys, RADIUS/TACACS nutzen und Management-Traffic nach Möglichkeit durch sichere SD-WAN-Tunnel führen.
Betroffene CVEs (Auszug): CVE-2025-37123 (CLI Command Injection, 8.8), CVE-2025-37124 (unauthentifizierter Bypass, 8.6), CVE-2025-37125 (Broken Access Control, 7.5), CVE-2025-37126/-37127 (auth. RCE/Replays, 7.2), CVE-2025-37128 bis -37131 (DoS/Arbitrary Read u.a., 4.9–6.8).
