Angreifer könnten sich über Sicherheitslücken in ArubaOS Zugang zu Netzwerken verschaffen und im schlimmsten Fall Schadcode auf Systemen ausführen. Dagegen abgesicherte Versionen stehen zum Download bereit.
Quelle: heise
Durch das erfolgreiche Ausnutzen der verbleibenden Lücken könnten Angreifer eigene Befehle ausführen oder Modifikationen am System vornehmen.
Die Patches
Einer Warnmeldung zufolge sind die Produkte Aruba Mobility Conductor, Aruba Mobility Controllers, SD-WAN Gateways und WLAN Gateways betroffen. Die folgenden Versionen sind gegen mögliche Attacken abgesichert:- ArubaOS ab 6.5.4.23
- ArubaOS ab 8.6.0.18
- ArubaOS ab 8.7.1.10
- ArubaOS ab 8.10.0.0
- ArubaOS ab 10.3.0.1
- SD-WAN ab 8.7.0.0-2.3.0.7
Quelle: heise
Die Lücken
Von den geschlossenen Schwachstellen gilt eine als "kritisch" (CVE-2022-37897). Hier könnte ein entfernter Angreifer ohne Authentifizierung mit präparierten Pakten am Aruba Networks AP Management Protocol (PAPI) ansetzen, um Schadcode im System auszuführen.Durch das erfolgreiche Ausnutzen der verbleibenden Lücken könnten Angreifer eigene Befehle ausführen oder Modifikationen am System vornehmen.