Aruba: Codeschmuggel durch Sicherheitslücken im Clearpass Manager möglich
Im Aruba Clearpass Manager von HPE klaffen teils kritische Sicherheitslücken. Updates zum Schließen stehen bereit.
(Bild: Nuttapong punna/Shutterstock.com)
Die Security-Software Clearpass Policy Manager der HPE-Marke Aruba hat mehrere Sicherheitslücken. Angreifer könnten dadurch Schadcode einschleusen und ausführen. Aktualisierte Software steht bereit, die die Lücken schließt.
Aruba Clearpass Policy Manager soll die Sicherheit von Netzwerken im Sinne von Zero Trust sicherstellen, etwa durch die Konfiguration der geringstmöglichen Rechte für Mitarbeiter und Gäste, die sich mit dem Unternehmensnetz verbinden. Eine Sicherheitsmitteilung von Aruba warnt jetzt vor mehreren, zum Teil kritischen Sicherheitslücken in der Software.
Clearpass Policy Manager: Lücken auch durch Drittanbieterkomponenten
Eine Lücke betrifft den mitgelieferten Apache Struts-Server und erlaubt das Einschleusen von Befehlen (CVE-2023-50164, CVSS 9.8, Risiko "kritisch"). Fünf Sicherheitslücken betreffen die webbasierte Verwaltungsoberfläche und ermöglichen angemeldeten Angreifern aus dem Netz, beliebige Befehle ans Betriebssystem des Hostsystems als root-Nutzer durchzureichen und so das System vollständig zu kompromittieren (CVE-2024-26294,CVE-2024-26295, CVE-2024-26296, CVE-2024-26297, CVE-2024-26298; alle CVSS 7.2, hoch).
Ferner finden sich noch Cross-Site-Scripting-Schwachstellen im Gäste- sowie Admin-Webinterface (CVE-2024-26299, CVE-2024-26300, CVSS 6.6, mittel) sowie Lücken, die Informationsabfluss ermöglichen (CVE-2024-26301, CVSS 6.5, mittel; CVE-2024-26302, CVSS 4.8, mittel).
Die Schwachstellen betreffen ClearPass Policy Manager 6.12.0, 6.11.6, 6.10.8 Hotfix Q4 2023 sowie 6.9.13 Hotfix Q4 2023 und jeweils ältere Releases. Zudem sind auch Systeme betroffen, die bereits am End-of-Life angelangt sind. Das Update auf ClearPass Policy Manager 6.12.1, 6.11.7, 6.10.8 Hotfix Patch 8 Q1 2024 sowie 6.9.13 Hotfix Patch 7 Q1 2024 oder jeweils neuere Versionen dichtet die Sicherheitslecks ab. HPE Aruba empfiehlt zudem, etwa die webbasierte Verwaltungsoberfläche auf Zugriffe aus einem dedizierten Layer-2-Netzwerksegment/VLAN oder mit Firewall-Richtlinien für Layer 3 und aufwärts zu beschränken, damit Angreifer Schwachstellen nicht einfach missbrauchen können.
Zuletzt waren Access Points von Aruba verwundbar. Der Hersteller hatte Mitte vergangenen Novembers Sicherheitsupdates veröffentlicht, um die Geräte abzusichern.
(dmk)
