RCE Schwachstellen in HPE Aruba Access Points gefunden
Hewlett Packard Enterprise (HPE) hat am 24. September 2024 einen Sicherheitshinweis (Document ID: hpesbnw04712) zu mehreren kritischen Schwachstellen in HPE Aruba Networking Access Points veröffentlicht. Die betroffenen Geräte laufen auf den Softwareversionen Instant AOS-8 und AOS-10. Die Schwachstellen (CVE-2024-42505, CVE-2024-42506, CVE-2024-42507) erlauben es Angreifern, durch speziell gestaltete Pakete über den PAPI-Protokoll-Port (UDP/8211) beliebige Befehle auf den Access Points auszuführen, was zu einer Remote-Code-Ausführung führen kann.
Betroffene Versionen umfassen unter anderem AOS-10.6.x.x (10.6.0.2 und darunter) sowie ältere Versionen, die das Ende ihres Supports erreicht haben und keine Patches erhalten. HPE empfiehlt dringend, auf unterstützte Versionen wie AOS-10.7.x.x (10.7.0.0 und höher) zu aktualisieren. Nutzer von älteren AOS-8.x-Versionen können alternativ die Cluster-Sicherheit aktivieren, um die Angreifbarkeit zu minimieren.
Die Schwachstellen wurden von Erik De Jong über das Bug-Bounty-Programm von HPE Aruba gemeldet. HPE rät allen betroffenen Nutzern, die empfohlenen Updates so schnell wie möglich durchzuführen, um das Risiko von Angriffen zu minimieren. Weitere Informationen und Software-Updates sind im HPE Networking Support Portal verfügbar.