Codeschmuggel möglich: Hochriskante Sicherheitslücken in ArubaOS-Firmware
Die HPE-Tochter Aruba hat Aktualisierungen für die ArubaOS-Firmware veröffentlicht. Sie schließen hochriskante Sicherheitslücken, die Codeschmuggel erlauben.
(Bild: asharkyu/Shutterstock.com)
Sicherheitsupdates für die ArubaOS-Firmware der Geräte der HPE-Tochter bessern Schwachstellen aus, durch die Angreifer aus dem Netz etwa Schadcode einschmuggeln können. IT-Verantwortliche sollten die Aktualisierungen zügig herunterladen und anwenden.
Insgesamt neun Sicherheitslücken dichtet Aruba ab, davon schrammt eine knapp an der Risikoeinstufung "kritisch" vorbei. Vier der Lücken gelten dem Hersteller als hohes Risiko, fünf als mittleres.
ArubaOS: Eine beinahe kritische Lücke
Eine Schwachstelle in der webbasierten Verwaltungsoberfläche von ArubaOS ermöglicht nicht authentifizierten Angreifern, einen Stored Cross-Site-Scripting (XSS)-Angriff gegen Nutzer des Webinterfaces auszuführen. Dadurch können sie nach einer erfolgreichen Attacke beliebigen Skriptcode im Browser eines Opfers in dessen Kontext laufen lassen (CVE-2023-35971, CVSS 8.8, Risiko "hoch"). Angemeldete Nutzer können zudem im Webinterface aus der Ferne Befehle einschleusen, die als privilegierter Nutzer im unterliegenden Betriebssystem ausgeführt werden (CVE-2023-35972, CVSS 7.2, hoch).
Zwei ähnliche Schwachstellen findet sich zudem im Kommandozeilen-Interface von ArubaOS (CVE-2023-35973, CVE-2023-35974, beide CVSS 7.2, hoch). Betroffen sind der Sicherheitsmeldung von Aruba zufolge HPE Aruba Mobility Conductor (ehemals als Mobility Master bekannt), Mobility Controller und WLAN- sowie SD-WAN-Gateways, die IT-Verantwortliche mit Aruba Central verwalten.
Die Softwarestände sind bis einschließlich ArubaOS 10.4.0.1, 8.11.1.0, 8.10.0.6 sowie 8.6.0.20 verwundbar. Einige der Schwachstellen betreffen ArubaOS 8.9.x.x, 8.8.x.x, 8.7.x.x, 6.5.4.x, SD-WAN 8.7.0.0-2.3.0.x und 8.6.0.4-2.2.x.x – diese sind am Support-Ende angelangt und erhalten daher keine Aktualisierungen mehr, die die Sicherheitslücken abdichten würden. Lediglich die Software-Stände ArubaOS 10.4.0.2, 8.11.1.1, 8.10.0.7 sowie 8.6.0.21 und neuere stehen zum Schließen der Lecks bereit.
Im Mai hatte die HPE-Tochter Aktualisierungen für die Access Points herausgegeben. Die haben kritische Sicherheitslücken geschlossen, durch die Angreifer die Access Points hätten übernehmen können.
(dmk)
