HPE Aruba: Access Points für Codeschmuggel aus dem Netz anfällig
Hewlett Packard Enterprise (HPE) warnt vor kritischen Sicherheitslücken in Aruba Access Points. Angreifer können aus dem Netz Schadcode einschleusen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
In dem Betriebssystem von HPEs Aruba Networking Access Points schlummern Sicherheitslücken, mit denen Angreifer aus dem Netz ohne vorherige Anmeldung Befehle einschmuggeln können. Der Hersteller hat Updates veröffentlicht, die die Lücken schließen.
In der Sicherheitsmitteilung erklärt HPE Aruba, dass aufgrund von Befehlsschmuggel-Lücken im darunterliegenden Kommandozeilen-Dienst (CLI Service) nicht authentifizierte Angreifer aus dem Netz Schadcode ausführen können. Dazu müssen sie sorgsam präparierte Netzwerkpakete an den UDP-Port vom PAPI-Dienst senden, Arubas Access-Point-Verwaltungsprotokoll. Nach erfolgreicher Attacke können Angreifer beliebigen Code als privilegierter Nutzer im darunterliegenden Betriebssystem ausführen und somit die volle Kontrolle übernehmen (CVE-2024-42505, CVE-2024-42506, CVE-2024-42507; alle CVSS 9.8, Risiko "kritisch").
Temporäre Gegenmaßnahmen
Das Aktivieren von "Cluster-Security" mittels cluster-security-Befehl verhindert den Missbrauch der Schwachstellen auf Geräten, auf denen Instant AOS-8.x läuft. Für Geräte mit AOS-10 ist das keine Option; hier ist das Blockieren vom Zugriff auf den UDB-Port 8211 aus nicht vertrauenswürdigen Netzen als temporärer Workaround nutzbar.
Die Liste der betroffenen Geräte ist etwas länger. Grundsätzlich sind alle Aruba Access Points mit AOS-8 und AOS-10 verwundbar. Die Software-Versionen AOS 10.6.0.2 sowie 10.4.1.3 und Instant AOS8.12.0.1 sowie 8.10.0.13 und jeweils niedrigere sind anfällig. Dafür stehen Updates bereit. Es sind jedoch ziemlich viele Versionen betroffen, die bereits am End-of-Life angelangt sind: AOS 10.5,x.x und 10.3.x.x sowie Instant AOS 8.11.x.x, 10.3.x.x, 8.11.x.x, 8.9.x.x, 8.8.x.x, 8.7.x.x, 8.6.x.x, 8.5.x.x, 8.4.x.x, 6.5.x.x und 6.4.x.x. Hier empfiehlt HPE Aruba, so schnell wie möglich auf eine unterstützte Version zu aktualisieren.
Die korrigierten Softwarestände lauten AOS 10.7.0.0, 10.6.0.3, 10.4.1.4 sowie Instant AOS 8.12.0.2 und 8.10.0.14 sowie jeweils neuere. Diese stehen auf der Support-Webseite von HPE Aruba zum Herunterladen zur Verfügung.
Wie sich erfolgreiche Angriffe erkennen lassen, erörtern die Autoren der Sicherheitsmitteilung nicht. Bis zum Zeitpunkt des Advisories hatte HPE Aruba keine Kenntnis davon, dass die Lücken bereits missbraucht oder Exploits dafür öffentlich besprochen wurden.
Vor einer Woche hat HPE Aruba bereits im Netzwerkbetriebssystem ArubaOS Lücken geschlossen, die die Sicherheit von Netzwerk-Controllern und -Gateways gefährdet haben. Die Schwachstellen erlaubten Angreifern, Schadcode auf verwundbaren Geräten auszuführen.
(dmk)