Kritische Schwachstellen ermöglichen Übernahme von Aruba Access Points

Die HPE-Tochterfirma Aruba warnt in einer Sicherheitsmeldung vor mehreren, teils kritischen Sicherheitslücken in den Access Points des Unternehmens. Es stehen aktualisierte Firmware-Pakete bereit, die die Lecks abdichten. IT-Verantwortliche sollten sie zügig installieren, da Angreifer aus dem Netz ohne Anmeldung durch die Lücken Schadcode auf die Geräte schleusen und ausführen können.

Der Hersteller erläutert die 13 Lücken und betroffene Software-Versionen in einem Security Advisory. Für die Access Points mit InstantOS und ArubaOS 10 stellt der Hersteller demnach Patches bereit.

Aruba: Kritische Lücken in Access Points

In mehreren zugrundeliegenden Diensten finden sich Lücken basierend auf Pufferüberläufen, die zu unautorisiertem Ausführen von eingeschleustem Codeführen können. Angreifer müssten speziell präparierte Pakete an den PAPI-Port (Arubas Access Point Management Protokoll) UDP 8211 senden. Durch das erfolgreiche Ausnutzen dieser Schwachstellen kann beliebiger Code mit hohen Privilegien auf dem zugrunde liegenden Betriebssystem zur Ausführung kommen. Allein acht CVE-Einträge betreffen diese Lücken und erreichen einen CVSS-Wert von 9.8, womit sie die Risikoeinstufung "kritisch" erreichen.

Eine Denial-of-Service-Lücke findet sich ebenfalls im PAPI-Protokoll (CVE-2023-22787, CVSS 7.5, hoch). Zudem gibt es mehrere Schwachstellen, durch die angemeldete Angreifer Befehle an das unterliegende Betriebssystem durchreichen können, die mit erhöhten Rechten ausgeführt werden (VE-2023-22788, CVE-2023-22789, CVE-2023-22790; alle CVSS 7.2, hoch). Ein potenzielles Informationsleck können bösartige Akteure mit gültigen Zugangsdaten zum WLAN missbrauchen (CVE-2023-22791, CVSS 5.4, mittel).

Aktualisierte Software

Von den Lücken sind die Software-Versionen einschließlich ArubaOS 10.3.1.0, InstantOS 8.10.0.4, 8.6.0.19, 6.5.4.23 und 6.4.4.8-4.2.4.20 sowie vorhergehende betroffen. Für die ebenfalls verwundbaren Fassungen InstantOS 8.9.x, 8.8.x, 8.7.x, 8.5.x und 8.4.x gibt Aruba keine Updates heraus, da diese ihr End-of-Life erreicht haben. Mit den Aktualisierungen auf ArubaOS 10.4.0.0 und 10.3.1.1 sowie auf InstantOS 8.11.0.0, 8.10.0.3, 8.6.0.20, 6.5.4.24 und 6.4.4.8-4.2.4.21 und neueren Versionen bessern die Entwickler die Schwachstellen aus. Administratoren erhalten sie über die ihnen bekannten Wege.

Das Unternehmen betont, dass Aruba Mobility Conductor, Aruba Mobility Controllers, sowie Access-Points, die von Mobility Controllern verwaltet werden, und Aruba SD-WAN Gateways von diesen Sicherheitslücken nicht betroffen sind. Auch Aruba Instant On sei nicht verwundbar.

Im März hatte Aruba eine hochriskante Sicherheitslücke in den Switches gemeldet. Angreifer hätten diese dadurch kompromittieren können.

(dmk)