HPE Aruba stopft Codeschmuggel-LĂĽcken in Access Points
Firmware-Updates für HPE Aruba Access Points stopfen mehrere kritische Sicherheitslücken, die Angreifern das Einschleusen von Schadcode ermöglichen.
(Bild: Bild erstellt mit KI in Bing Image Creator durch heise online / dmk)
HPE Aruba warnt vor kritischen Sicherheitslücken, die die Access Points betreffen. Angreifer aus dem Netz können dadurch ohne vorherige Authentifizierung beliebigen Code einschleusen und ausführen. Aktualisierte Software soll die Schwachstellen ausbessern. IT-Verantwortliche sollten sie zügig installieren.
In der Sicherheitsmitteilung schreiben die HPE-Aruba-Entwickler, dass die Updates insgesamt sechs SicherheitslĂĽcken stopfen. Der Schweregrad von zweien ist kritisch, drei stufen die Entwickler als hohes Risiko ein und eine gilt noch als mittleres Risiko.
Kritische SicherheitslĂĽcken in HPE Aruba Access Points
Durch das Senden sorgsam präparierter Netzwerkpakete können Angreifer eine Schwachstelle im PAPI-Protokoll missbrauchen, um Befehle an den darunterliegenden Command-Line-Interface-Dienst (CLI) zu schmuggeln. Das führt zur Ausführung beliebigen Codes mit Rechten eines privilegierten Users im Betriebssystem (CVE-2024-42509, CVSS 9.8, Risiko "kritisch"). Eine weitere Sicherheitslücke hat eine identische Beschreibung (CVE-2024-47460, CVSS 9.0, kritisch).
Angemeldete Nutzerinnen und Nutzer können im Instant AOS-8- sowie AOS-10-Betriebssystem ebenfalls Befehle an den CLI-Dienst durchstechen. Auch das führt zur Ausführung von eingeschleustem Code und kann zur vollständigen Kompromittierung des Betriebssystems führen (CVE-2024-47461, CVSS 7.2, hoch). Außerdem können authentifizierte User beliebige Dateien in Instant AOS-8 und AOS-10 erstellen. Dadurch ist es Angreifern möglich, beliebigen Code auszuführen (CVE-2024-47462, CVE-2024-47463, CVSS 7.2, hoch). Nicht autorisierter Dateizugriff ist aufgrund einer Path-Traversal-Schwachstellte möglich, wodurch angemeldete Nutzerinnen und Nutzer in Instant AOS-8 und AOS-10 beliebige Dateien kopieren können (CVE-2024-47464, CVSS 6.8, mittel).
Die Sicherheitsmitteilung führt zudem temporäre Gegenmaßnahmen auf, die bis zur Möglichkeit der Aktualisierung den Missbrauch der Schwachstellen unterbinden können. Außerdem listet sie alle betroffenen Geräte-Reihen auf. Für die verwundbaren Firmware-Versionen stehen Aktualisierungen bereit: Für AOS-10.7.x.x korrigiert 10.7.0.0 die Fehler, für AOS-10.4.x.x steht 10.4.1.5 und jeweils neuer zur Verfügung. Instant AOS-8 8.12.x.x ist ab 8.12.0.3 abgesichert, Instant AOS-8 8.10.x.x hingegen ab Stand 8.10.0.14. Im HPE Networking Software Portal lassen sich die Updates herunterladen.
Bereits vor rund einem Monat hatte HPE Aruba mehrere SicherheitslĂĽcken in den Access-Point-Firmwares schlieĂźen mĂĽssen. Auch dort erlaubten sie Angreifern aus dem Netz, Schadcode einzuschleusen und auszufĂĽhren.
(dmk)