Hewlett Packard Enterprise (HPE) hat eine dringende Sicherheitswarnung für Nutzer von Aruba Access Points veröffentlicht. Die Sicherheitsforscher haben mehrere schwerwiegende Sicherheitslücken in den Betriebssystemen ArubaOS und InstantOS identifiziert, die das Unternehmen als kritisch einstuft. Insgesamt sind 18 Sicherheitslücken (CVE-2024-31466 bis CVE-2024-31483) betroffen, die in einem kürzlich veröffentlichten Sicherheitsbericht detailliert beschrieben werden.
Betroffene Produkte und Softwareversionen
Die betroffenen Produkte umfassen Aruba Access Points, die mit den Betriebssystemen ArubaOS 10 und InstantOS laufen. Die spezifischen Versionen sind:
- ArubaOS 10.5.x.x: Version 10.5.1.0 und darunter
- ArubaOS 10.4.x.x: Version 10.4.1.0 und darunter
- InstantOS 8.11.x.x: Version 8.11.2.1 und darunter
- InstantOS 8.10.x.x: Version 8.10.0.10 und darunter
- InstantOS 8.6.x.x: Version 8.6.0.23 und darunter
Ältere Versionen, die das Ende ihrer Wartung erreicht haben, sind ebenfalls betroffen und werden nicht mehr durch Sicherheitsupdates abgedeckt.
Nicht betroffen von diesen Sicherheitslücken sind:
- Aruba Mobility Conductor
- Aruba Mobility Controllers
- Access Points, die von Mobility Controllers verwaltet werden
- Aruba SD-WAN Gateways
- Aruba Instant On
Details zu den Sicherheitslücken
Die Sicherheitslücken umfassen unter anderem unauthentifizierte Buffer Overflow- und Command Injection-Schwachstellen, die durch das Senden speziell gestalteter Pakete über das PAPI-Protokoll (UDP-Port 8211) ausgenutzt werden können. Erfolgreiche Angriffe könnten zur Ausführung beliebiger Code-Befehle als privilegierter Benutzer führen. Diese Schwachstellen wurden durch das Bug-Bounty-Programm von HPE Aruba Networking von Sicherheitsforschern wie Chancen und Erik De Jong entdeckt.
Einige der CVE-Nummern und ihre entsprechenden Bedrohungen umfassen:
- CVE-2024-31466 bis CVE-2024-31469: Buffer Overflow im CLI-Service und Central Communications Service
- CVE-2024-31470: Buffer Overflow im SAE-Service
- CVE-2024-31471: Command Injection im Central Communications Service
- CVE-2024-31472 bis CVE-2024-31473: Command Injection im Soft AP Daemon und Deauthentication Service
Die vollständige Liste der Schwachstellen und weitere technische Details sind im HPE Aruba Networking Sicherheitsbericht zu finden.
Empfohlene Maßnahmen
HPE empfiehlt betroffenen Nutzern dringend, ihre Software auf die neuesten Versionen zu aktualisieren, um die beschriebenen Sicherheitslücken zu schließen. Die empfohlenen Versionen sind:
- ArubaOS 10.6.x.x: Version 10.6.0.0 und höher
- InstantOS 8.12.x.x: Version 8.12.0.0 und höher
Für Systeme, die keine Updates mehr erhalten, empfiehlt HPE, den Zugriff auf den UDP-Port 8211 von untrusted Netzwerken zu blockieren und gegebenenfalls den Cluster-Sicherheitsbefehl zu aktivieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: