Sicherheitsupdates: Angreifer können WLAN-Gateways von Aruba kompromittieren
Wichtige Patches schließen mehrere Schwachstellen in Mobillity Conductor, Mobility Controllers, WLAN Gateways und SD-WAN Gateways von Aruba.
Netzwerkadmins sollten das Netzwerkbetriebssystem ArubaOS auf den aktuellen Stand bringen, um Attacken vorzubeugen. Sicherheitsupdates schließen unter anderem drei "kritische" Sicherheitslücken. Von den Lücken sind auch nicht mehr im Support befindliche Versionen betroffen. Damit ausgestattete Geräte bleiben verwundbar. Derzeit gibt es Aruba zufolge noch keine Hinweise auf Attacken.
Schadcode-Lücken
Wie aus einer Warnmeldung hervorgeht, sind konkret die Produkte Mobillity Conductor, Mobility Controllers, WLAN Gateways und SD-WAN Gateways bedroht. Die kritischen Schwachstellen (CVE-2024-26304, CVE-2024-33511, CVE-2024-33512) stecken im Access-Point-Management-Protokoll PAPAI. Dort sollen entfernte Angreifer ohne Authentifizierung mit speziellen Anfragen am UDP-Port ansetzen können.
Klappt das, kommt es zu Speicherfehlern (Buffer overflow) und Angreifer können im zugrundeliegenden System Schadcode ausführen. So etwas führt in der Regel zur vollständigen Kompromittierung von Geräten.
Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad "mittel" eingestuft. An diesen Stellen kann es zu DoS-Attacken kommen, um Geräte lahmzulegen.
Aruba gibt an, die Sicherheitsprobleme ab den folgenden Versionen gelöst zu haben:
- ArubaOS 8.10.x.x: 8.10.0.11
- ArubaOS 8.11.x.x: 8.11.2.2
- ArubaOS 10.4.x.x: 10.4.1.1
- ArubaOS 10.5.x.x: 10.5.1.1
- ArubaOS 10.6.x.x: 10.6.0.0
Aruba weist ausdrücklich darauf hin, dass auch die folgenden Ausgaben verwundbar sind. Für diese ist jedoch der Support ausgelaufen und es gibt keine Sicherheitsupdates mehr. In so einem Fall sollten Admins zeitnah ein Upgrade durchführen.
ArubaOS 6.5.4.x
ArubaOS 8.6.x.x
ArubaOS 8.7.x.x
ArubaOS 8.8.x.x
ArubaOS 8.9.x.x
ArubaOS 10.3.x.x
SD-WAN 8.6.0.4-2.2.x.x
SD-WAN 8.7.0.0-2.3.0.x
(des)