ArubaOS: Sicherheitslücken erlauben Befehlsschmuggel
HPE Aruba hat eine Sicherheitsmitteilung zu mehreren Lücken herausgegeben. Angreifer können Befehle einschleusen oder einen DoS auslösen.
(Bild: asharkyu/Shutterstock.com)
HPE Aruba warnt vor zum Teil hochriskanten Sicherheitslücken im Betriebssystem ArubaOS für Geräte aus dem Hause. Mehrere gelten als hohes Risiko und erlauben das Einschmuggeln von Befehlen.
Wie die Ingenieure von HPE Aruba in ihrer Sicherheitsmitteilung schreiben, können angemeldete Nutzerinnen und Nutzer Befehle in die Kommandozeilenschnittstelle von ArubaOS einschleusen. Diese gelangen mit erhöhten Rechten zur Ausführung (CVE-2024-1356, CVE-2024-25611, CVE-2024-25612, CVE-2024-25613; CVSS 7.2, Risiko "hoch"). Angemeldete User können zudem beliebige Dateien durch das Kommandozeilen-Interface löschen und so Denial-of-Service-Situationen provozieren (CVE-2024-25614, CVSS 5.5, mittel).
Zahlreiche Lecks in ArubaOS
Außerdem lässt sich der Spectrum-Dienst, der über das PAPI-Protokoll erreichbar ist, ohne vorherige Anmeldung aus dem Netz außer Funktion setzen (CVE-2024-25615, CVSS 5.3, mittel). Während der IKE_AUTH-Aushandlung können unter Umständen und mit bestimmten, nicht näher erläuterten Konfigurationen von ArubaOS sensible Informationen abfließen (CVE-2024-25616, CVSS 3.7, niedrig).
Die Versionen 10.5.1.0, 10.4.1.0, 8.11.2.1 sowie 8.10.0.10 und jüngere Fassungen korrigieren die sicherheitsrelevanten Fehler. Die verwundbaren Versionszweige 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4, SD-WAN 8.7.0.0-2.3.0 und 8.6.0.4-2.2 sind am Ende der Unterstützung angelangt und erhalten keine Aktualisierungen mehr. Betroffen sind die Betriebssysteme auf Aruba Mobility Conductor, (ehemals Mobility Master), Mobility Controller und WLAN- sowie SD-WAN Gateways.
HPE Aruba empfiehlt abermals, den Zugriff auf die webbasierte Verwaltungsoberfläche und das Kommandozeilen-Interface auf ein dediziertes Layer-2-Netzwerksegment / VLAN oder mittels Firewall-Richtlinien für Protokoll-Layer-3 und höher auf vertrauenswürdige Maschinen zu beschränken. Damit lässt sich die Wahrscheinlichkeit reduzieren, dass Angreifer die Sicherheitslücken in der Verwaltungsoberfläche sowie Kommandozeilenschnittstelle missbrauchen.
Aruba hatte vor rund einer Woche bereits vor Codeschmuggel-Lücken im Clearpass Manager gewarnt. Die Entwickler haben sie teils als kritisches Risiko eingestuft.
Im ersten Satz "Switches" durch "Geräte" ersetzt sowie am Ende die betroffenen Hardware-Geräte ergänzt.
(dmk)
