VPN-LĂĽcken in HPE Aruba Networking Virtual Intranet Access Client geschlossen
Angreifer können mit HPE Aruba Networking Virtual Intranet Access Client erstellte VPN-Verbindungen aufknacken.
(Bild: janews/Shutterstock.com)
Mit dem HPE Aruba Networking Virtual Intranet Access (VIA) Client unter iOS, Linux, macOS und Windows erstellte VPN-Verbindungen sind nicht sicher. Der Android-Client ist davon nicht betroffen. FĂĽr die anderen Systeme gibt es ein Sicherheitsupdate.
Tunnelvision-Schwachstelle
In einer Warnmeldung fĂĽhren die Entwickler aus, dass der VIA-Client bis inklusive Version 4.7.0 verwundbar ist. Sie geben an, in der Ausgabe 4.7.2 zwei SicherheitslĂĽcken (CVE-2024-3661 "hoch", CVE-2025-25041 "hoch") geschlossen zu haben.
Die erste Lücke ist unter dem Titel "Tunnelvision" schon seit 2024 bekannt. An dieser Stelle können entfernte Angreifer ohne Authentifizierung ansetzen und im Kontext des Netzwerkkonfigurationsservices des DHCP-Protokolls ansetzen, um VPN-Verbindungen aufzubrechen.
Nutzen Angreifer die zweite Schwachstelle erfolgreich aus, können sie DoS-Zustände erzeugen. Für beide Lücken gibt es den HPE-Entwicklern zufolge noch keine Hinweise auf Attacken.
(des)
