Am 14. Januar 2025 veröffentlichte Hewlett Packard Enterprise (HPE) eine Sicherheitswarnung zu mehreren schwerwiegenden Schwachstellen in den Betriebssystemen AOS-8 und AOS-10, die in Aruba Mobility Conductors, Controllern und Gateways eingesetzt werden. Die Schwachstellen ermöglichen Authentifizierten die Ausführung beliebigen Codes und die Manipulation von Systemdateien über die Web- und CLI-Managementschnittstellen.
Die Schwachstellen betreffen zahlreiche Versionen von AOS-8 und AOS-10, insbesondere ältere und nicht mehr gewartete Versionen. Die Sicherheitslücken wurden von Erik de Jong über das HPE-Bug-Bounty-Programm gemeldet und als kritisch eingestuft (CVSS 7.2).
- CVE-2025-23051: Parameterinjektionsangriffe ermöglichen das Überschreiben von Systemdateien.
- CVE-2025-23052: Befehlsinjektionen erlauben die Ausführung privilegierter Befehle.
HPE empfiehlt, betroffene Geräte zu aktualisieren oder den Zugriff auf die Managementschnittstellen durch VLAN- und Firewall-Richtlinien zu beschränken. Fixes stehen in den neuesten AOS-Versionen zur Verfügung, die über das HPE Networking Support Portal heruntergeladen werden können.
Derzeit sind keine öffentlichen Exploits bekannt. Kunden sollten umgehend Maßnahmen ergreifen, um die Sicherheit ihrer Systeme zu gewährleisten.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: