Sicherheitsupdates: Access Points von Aruba sind verwundbar
Angreifer können Schadcode auf Acces Points von Aruba ausführen. Sicherheitspatches sind verfügbar.
Angreifer können Aruba Access Points attackieren und Schadcode auf Geräte schieben. Drei Lücken gelten als "kritisch". Insgesamt haben die Entwickler dreizehn Schwachstellen geschlossen.
Jetzt patchen!
In einer Warnmeldung betont Aruba, dass ausschließlich Access Points mit ArubaOS 10 und InstantOS betroffen sind. Nicht betroffen sind Mobility Conductor, Mobility Controllers und Access Points, die über Mobility Controllers und SD-WAN Gateways verwaltet werden. Instand On ist ebenfalls nicht betroffen.
Um Access Points abzusichern, müssen Admins ArubaOS 10.4.0.3 oder 10.5.0.1 oder InstantOS 8.6.0.23, 8.10.0.9 oder 8.11.2.0 installieren. Die Lücken bedrohen auch ältere Versionen, für die es aber keine Sicherheitsupdates mehr gibt. Hier sind Upgrades fällig. Bislang sind Aruba zufolge keine Informationen zu laufenden Attacken bekannt.
Die Lücken
Als besonders gefährlich gelten drei "kritische" Schwachstellen (CVE-2023-45614, CVE-2023-45615, CVE-2023-45616). An diesen Stellen können entfernte Angreifer ohne Authentifizierung unter anderem mit präparierten Paketen am CLI-Service ansetzen und als privilegierter Nutzer eigenen Code auf Systemebene ausführen.
In den anderen Fällen ist das Löschen von Daten im System möglich. Das ist etwa am AirWave-Client (CVE-2023-45618 "hoch") möglich. Das kann die Integrität eines Access Points gefährden. Wie eine Attacke aussehen könnte, ist bislang unklar. Auch DoS-Attacken sind vorstellbar. Dafür ist ebenfalls der CLI-Service anfällig. Auch hier ist keine Authentifizierung nötig.
Zuletzt sorgte Aruba für Schlagzeilen, als hochriskante Sicherheitslücken in Controller und Gateways geschlossen wurden.
(des)