Hardware & Software Alert! Sicherheitsupdates: Kritische Lücken in WAN-Managementsystem von Aruba

Netzwerk-Admins, die zum WAN-Management Aruba EdgeConnect Orchestrator nutzen, sollten die Anwendung auf den aktuellen Stand bringen. Andernfalls könnten Angreifer Systeme vollständig kompromittieren.

Schadcode-Attacken​

Beide Sicherheitslücken (CVE-2022-37913, CVE-2022-37915) sind als "kritisch" eingestuft und betreffen das Web-basierte Management-Interface. In einem Fall könnten entfernte Angreifer ohne Authentifizierung als Admin auf Systeme zugreifen und die volle Kontrolle über den Host erlangen. Wie Angriffsszenarien aussehen, ist derzeit nicht bekannt.

Laut den Informationen einer Warnmeldung sind folgende Versionen von den Lücken betroffen:

• Aruba EdgeConnect Enterprise Orchestrator (on-premises)
• Aruba EdgeConnect Enterprise Orchestrator-as-a-Service
• Aruba EdgeConnect Enterprise Orchestrator-SP und Aruba EdgeConnect Enterprise Orchestrator Global Enterprise Tenant Orchestrators
• Orchestrator bis einschließlich 9.1.2.40051
• Orchestrator bis einschließlich 9.0.7.40108
• Orchestrator bis einschließlich 8.10.23.40009
• Alle nicht ausdrücklich erwähnten älteren Versionen von Orchestrator

Die Entwickler geben an, die Schwachstellen in diesen Ausgaben geschlossen zu haben:

• Orchestrator 9.2.0.40405
• Orchestrator 9.1.3.40197
• Orchestrator 9.0.7.40110
• Orchestrator 8.10.23.40015

Für Software, die sich nicht mehr im Support befindet, wird es Aruba zufolge keine Sicherheitsupdates geben.
Quelle: heise