In den Firmwares der Access Points der "Hewlett Packard Enterprises"-Tochtergesellschaft Aruba finden sich kritische Sicherheitslücken, warnt der Hersteller. Nicht authentifizierte Angreifer könnten dadurch mit manipulierten Paketen Schadcode einschleusen und ausführen. Es stehen aktualisierte Firmwares bereit, die Administratoren zügig installieren sollten.
Zudem können in der Web-Management-Oberfläche Nutzer ohne Authentifizierung Pufferüberläufe provozieren. Dadurch könnten sie beliebige Befehle im Betriebssystem ausführen (CVE-2022-37890, CVE-2022-37891; CVSS 9.8, kritisch).
Weitere Schwachstellen umfassen etwa eine Stored Cross-Site Scripting-Lücke. Durch sie könnten Angreifer ohne Anmeldung Nutzern beliebigen Skript-Code unterschieben, der im Browser in deren Kontext läuft (CVE-2022-37892, CVSS 8.1, hoch). Denial-of-Service-Angriffe sind aufgrund einer Diffie-Hellman Schlüsselaustausch-Protokoll-Lücke, auch als D(HE)ater-Angriff bekannt, möglich (CVE-2002-20001, CVSS 7.5, hoch). Die Sicherheitsmeldung von Aruba listet noch einige weitere Sicherheitslücken in den älteren Firmware-Versionen auf.
Betroffen sind Access Points mit den Betriebssystemversionen
Zuletzt mussten Administratoren von Aruba-Switches vor einem Monat aktiv werden. Sonst hätten Angreifer eigenen Code auf den Switches des Anbieters ausführen können.
Kritische Schwachstellen
Ein Bündel an kritischen Sicherheitslücken basiert auf potenziellen Pufferüberläufen in mehreren Diensten, die aufgrund sorgsam präparierter Pakete an den PAPI-Dienst (Aruba Networks AP Management Protocol) auftreten können. Der Dienst lauscht standardmäßig auf UDP-Port 8211. Dabei untergejubelter Schadcode laufe als privilegierter Nutzer auf dem zugrundeliegenden Betriebssystem (CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889; CVSS 9.8, Risiko "kritisch").Zudem können in der Web-Management-Oberfläche Nutzer ohne Authentifizierung Pufferüberläufe provozieren. Dadurch könnten sie beliebige Befehle im Betriebssystem ausführen (CVE-2022-37890, CVE-2022-37891; CVSS 9.8, kritisch).
Weitere Schwachstellen umfassen etwa eine Stored Cross-Site Scripting-Lücke. Durch sie könnten Angreifer ohne Anmeldung Nutzern beliebigen Skript-Code unterschieben, der im Browser in deren Kontext läuft (CVE-2022-37892, CVSS 8.1, hoch). Denial-of-Service-Angriffe sind aufgrund einer Diffie-Hellman Schlüsselaustausch-Protokoll-Lücke, auch als D(HE)ater-Angriff bekannt, möglich (CVE-2002-20001, CVSS 7.5, hoch). Die Sicherheitsmeldung von Aruba listet noch einige weitere Sicherheitslücken in den älteren Firmware-Versionen auf.
Betroffen sind Access Points mit den Betriebssystemversionen
- Aruba InstantOS 6.4.x: 6.4.4.8-4.2.4.20 und vorherige
- Aruba InstantOS 6.5.x: 6.5.4.23 und älter
- Aruba InstantOS 8.6.x: 8.6.0.18 und vorherige
- Aruba InstantOS 8.7.x: 8.7.1.9 und älter
- Aruba InstantOS 8.10.x: 8.10.0.1 und vorherige
- ArubaOS 10.3.x: 10.3.1.0 und älter
Zuletzt mussten Administratoren von Aruba-Switches vor einem Monat aktiv werden. Sonst hätten Angreifer eigenen Code auf den Switches des Anbieters ausführen können.
