Kritische Schwachstellen in HPE Aruba AOS
Am 8. April 2025 hat Hewlett Packard Enterprise in einem Sicherheitsbulletin (HPESBNW04845 rev.1) mehrere schwerwiegende Schwachstellen in HPE Aruba Networking AOS-10 und AOS-8 bekanntgegeben. Die betroffenen Komponenten umfassen Mobility Conductors, Controller und Gateways, einschließlich WLAN- und SD-WAN-Gateways, die über Aruba Central verwaltet werden.
Die Sicherheitslücken, die unter anderem Remote Code Execution, Befehlsinjektionen, Dateizugriffe, XSS-Angriffe und Dateimanipulationen ermöglichen, wurden mit CVSS-Scores von bis zu 7.2 als „hoch“ eingestuft. Betroffen sind diverse Versionen, darunter AOS-10.7.1.0 und früher sowie AOS-8.12.0.3 und früher. Für Systeme, die sich außerhalb der Wartung befinden (EoM), stehen keine Patches zur Verfügung.
Zu den konkreten Schwachstellen zählen:
- CVE-2025-27082 & -27083: Authentifizierte Angreifer können über die Weboberfläche beliebige Dateien schreiben und Befehle als privilegierte Nutzer ausführen.
- CVE-2025-27084: Eine Cross-Site Scripting (XSS)-Lücke in der Captive Portal-Funktion ermöglicht das Ausführen von Schadcode im Browser.
- CVE-2025-27085: Ermöglicht authentifizierten Angreifern das Herunterladen beliebiger Dateien vom System.
Einige Risiken können für AOS-10 durch das Sperren von TCP-Port 4343 auf der Management-IP gemindert werden, für AOS-8 gibt es keine Workarounds. Ein Exploit ist laut HPE derzeit nicht öffentlich bekannt.
Lösung: Betroffene Nutzer sollten umgehend auf folgende Versionen aktualisieren:
- AOS-10.7.x.x: ab 10.7.1.1
- AOS-10.4.x.x: ab 10.4.1.7
- AOS-8.12.x.x: ab 8.12.0.4
- AOS-8.10.x.x: ab 8.10.0.16
Die Patches sind im HPE Aruba Networking Support Portal verfügbar. Es wird dringend empfohlen, Systeme auf die neuesten unterstützten Versionen zu aktualisieren, um Risiken zu minimieren.