HPE Aruba warnt vor schwerwiegenden Sicherheitslücken in seinem Betriebssystem ArubaOS für Switches. Diese Lücken ermöglichen das Einschleusen von Befehlen und werden als besonders gefährlich eingestuft. In einer Sicherheitsmitteilung informiert HPE Aruba darüber, dass angemeldete Nutzer Befehle in die Kommandozeilenschnittstelle von ArubaOS einschleusen können. Diese Befehle (CVE-2024-1356, CVE-2024-25611, CVE-2024-25612, CVE-2024-25613; CVSS 7.2, Risiko hoch) werden mit erhöhten Rechten ausgeführt. Des Weiteren haben angemeldete Benutzer die Möglichkeit, über das Kommandozeilen-Interface beliebige Dateien zu löschen und somit Denial-of-Service-Situationen zu verursachen (CVE-2024-25614, CVSS 5.5, mittel).
Zusätzlich besteht die Gefahr, dass der Spectrum-Dienst, der über das PAPI-Protokoll erreichbar ist, ohne vorherige Anmeldung aus dem Netzwerk deaktiviert werden kann (CVE-2024-25615, CVSS 5.3, mittel). Unter bestimmten Umständen und mit spezifischen, nicht genau angegebenen Konfigurationen von ArubaOS können während der IKE_AUTH-Aushandlung vertrauliche Informationen preisgegeben werden (CVE-2024-25616, CVSS 3.7, niedrig).
Die betroffenen Versionen 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4, SD-WAN 8.7.0.0-2.3.0 und 8.6.0.4-2.2 werden nicht mehr mit Updates versorgt und erreichen das Ende ihrer Unterstützung. Diese sicherheitsrelevanten Fehler wurden in den Versionen 10.5.1.0, 10.4.1.0, 8.11.2.1 sowie 8.10.0.10 und neuer behoben.
HPE Aruba empfiehlt dringend, den Zugriff auf die webbasierte Verwaltungsoberfläche und das Kommandozeilen-Interface einzuschränken, indem sie auf ein dediziertes Layer-2-Netzwerksegment / VLAN beschränkt oder Firewall-Richtlinien für Protokoll-Layer-3 und höher auf vertrauenswürdige Maschinen angewendet werden. Dadurch kann das Risiko verringert werden, dass Angreifer die Sicherheitslücken in der Verwaltungsoberfläche und der Kommandozeilenschnittstelle ausnutzen.
Erst vor etwa einer Woche hatte Aruba vor Sicherheitslücken im Clearpass Manager gewarnt, die als kritisches Risiko eingestuft wurden und das Einschleusen von Code ermöglichen. Es scheint, als sei die Sicherheit der Produkte von Aruba momentan stark gefährdet. Daher ist es für Unternehmen und Nutzer umso wichtiger, die empfohlenen Sicherheitsmaßnahmen zu treffen und ihre Systeme auf dem neuesten Stand zu halten, um sich vor möglichen Angriffen zu schützen.
Schlagwörter: HPE Aruba + CVSS + ArubaOS
Wie bewerten Sie den Schreibstil des Artikels?