Aruba: Kritische Sicherheitslücke in Access Points
Aruba warnt vor kritischen Sicherheitslücken in den eigenen Access Points.
(Bild: alexskopje/Shutterstock.com)
In den Firmwares der Access Points der "Hewlett Packard Enterprises"-Tochtergesellschaft Aruba finden sich kritische Sicherheitslücken, warnt der Hersteller. Nicht authentifizierte Angreifer könnten dadurch mit manipulierten Paketen Schadcode einschleusen und ausführen. Es stehen aktualisierte Firmwares bereit, die Administratoren zügig installieren sollten.
Kritische Schwachstellen
Ein Bündel an kritischen Sicherheitslücken basiert auf potenziellen Pufferüberläufen in mehreren Diensten, die aufgrund sorgsam präparierter Pakete an den PAPI-Dienst (Aruba Networks AP Management Protocol) auftreten können. Der Dienst lauscht standardmäßig auf UDP-Port 8211. Dabei untergejubelter Schadcode laufe als privilegierter Nutzer auf dem zugrundeliegenden Betriebssystem (CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889; CVSS 9.8, Risiko "kritisch").
Zudem können in der Web-Management-Oberfläche Nutzer ohne Authentifizierung Pufferüberläufe provozieren. Dadurch könnten sie beliebige Befehle im Betriebssystem ausführen (CVE-2022-37890, CVE-2022-37891; CVSS 9.8, kritisch).
Weitere Schwachstellen umfassen etwa eine Stored Cross-Site Scripting-Lücke. Durch sie könnten Angreifer ohne Anmeldung Nutzern beliebigen Skript-Code unterschieben, der im Browser in deren Kontext läuft (CVE-2022-37892, CVSS 8.1, hoch). Denial-of-Service-Angriffe sind aufgrund einer Diffie-Hellman Schlüsselaustausch-Protokoll-Lücke, auch als D(HE)ater-Angriff bekannt, möglich (CVE-2002-20001, CVSS 7.5, hoch). Die Sicherheitsmeldung von Aruba listet noch einige weitere Sicherheitslücken in den älteren Firmware-Versionen auf.
Betroffen sind Access Points mit den Betriebssystemversionen
- Aruba InstantOS 6.4.x: 6.4.4.8-4.2.4.20 und vorherige
- Aruba InstantOS 6.5.x: 6.5.4.23 und älter
- Aruba InstantOS 8.6.x: 8.6.0.18 und vorherige
- Aruba InstantOS 8.7.x: 8.7.1.9 und älter
- Aruba InstantOS 8.10.x: 8.10.0.1 und vorherige
- ArubaOS 10.3.x: 10.3.1.0 und älter
Neuere und aktualisierte Firmware listet Aruba auf der Support-Download-Seite für die Access Points auf. Administratoren sollten zügig die aktuelle Firmware für ihr Gerät herunterladen und installieren. Bei Geräten mit älteren Firmwares sollte zunächst geprüft werden, ob sich diese auf einen Stand mit dem Support hieven lassen. Ist das nicht möglich, sollten IT-Verantwortliche die alte verwundbare Hardware gegen neuere Geräte austauschen.
Zuletzt mussten Administratoren von Aruba-Switches vor einem Monat aktiv werden. Sonst hätten Angreifer eigenen Code auf den Switches des Anbieters ausführen können.
(dmk)
