Netzwerk-Admins, die zum WAN-Management Aruba EdgeConnect Orchestrator nutzen, sollten die Anwendung auf den aktuellen Stand bringen. Andernfalls könnten Angreifer Systeme vollständig kompromittieren.
Laut den Informationen einer Warnmeldung sind folgende Versionen von den Lücken betroffen:
Quelle: heise
Schadcode-Attacken
Beide Sicherheitslücken (CVE-2022-37913, CVE-2022-37915) sind als "kritisch" eingestuft und betreffen das Web-basierte Management-Interface. In einem Fall könnten entfernte Angreifer ohne Authentifizierung als Admin auf Systeme zugreifen und die volle Kontrolle über den Host erlangen. Wie Angriffsszenarien aussehen, ist derzeit nicht bekannt.Laut den Informationen einer Warnmeldung sind folgende Versionen von den Lücken betroffen:
- Aruba EdgeConnect Enterprise Orchestrator (on-premises)
- Aruba EdgeConnect Enterprise Orchestrator-as-a-Service
- Aruba EdgeConnect Enterprise Orchestrator-SP und Aruba EdgeConnect Enterprise Orchestrator Global Enterprise Tenant Orchestrators
- Orchestrator bis einschließlich 9.1.2.40051
- Orchestrator bis einschließlich 9.0.7.40108
- Orchestrator bis einschließlich 8.10.23.40009
- Alle nicht ausdrücklich erwähnten älteren Versionen von Orchestrator
- Orchestrator 9.2.0.40405
- Orchestrator 9.1.3.40197
- Orchestrator 9.0.7.40110
- Orchestrator 8.10.23.40015
Quelle: heise