Schwachstellen in HPE Aruba Networking Access Points
HPE hat kürzlich einen Sicherheitsbericht über mehrere kritische Schwachstellen veröffentlicht, die unter den Bezeichnungen CVE-2024-42509, CVE-2024-47460, CVE-2024-47461, CVE-2024-47462, CVE-2024-47463 und CVE-2024-47464 bekannt sind.
Diese Schwachstellen betreffen ArubaOS, das in Access Points von HPE Aruba Networking verwendet wird, und können zu einer Remote-Code-Ausführung (RCE) führen. HPE hat Updates bereitgestellt, um die Schwachstellen zu beheben, allerdings sind bestimmte Versionen von ArubaOS vom Support ausgenommen und werden nicht mehr mit Patches versorgt.
Betroffene Produkte
Die Schwachstellen betreffen Access Points, die Instant AOS-8 und AOS-10 verwenden.
Betroffene Softwareversionen:
- AOS-10.4.x.x: Version 10.4.1.4 und älter
- Instant AOS-8.12.x.x: Version 8.12.0.2 und älter
- Instant AOS-8.10.x.x: Version 8.10.0.13 und älter
Weitere Versionen, die sich bereits am Ende ihres Wartungszyklus befinden, sind ebenfalls betroffen:
- AOS-10.6.x.x: alle Versionen
- AOS-10.5.x.x: alle Versionen
- AOS-10.3.x.x: alle Versionen
- Instant AOS-8.11.x.x und früher: alle Versionen bis Instant AOS-6.4.x.x
Nicht betroffene Produkte
HPE Aruba Networking Mobility Conductor, Mobility Controllers und SD-WAN Gateways sowie InstantOn Access Points sind nicht betroffen.
Details zu den Schwachstellen
1. CVE-2024-42509: Unauthentifizierte Befehlseinschleusung über das CLI-Service-Protokoll (PAPI)
- CVSS Base Score: 9.8
- Beschreibung: Diese Schwachstelle im CLI-Service erlaubt es Angreifern, durch speziell präparierte Pakete an den UDP-Port 8211 (PAPI) beliebigen Code mit privilegierten Rechten auszuführen.
- Schweregrad: Kritisch (CVSS v3.1: 9.8)
- Workaround: Für Instant AOS-8 kann die Aktivierung der Cluster-Sicherheit durch den Befehl cluster-security diese Schwachstelle verhindern. Bei AOS-10 ist es notwendig, den Zugriff auf Port 8211 von untrusted Netzwerken zu blockieren.
2. CVE-2024-47460: Unauthentifizierte Befehlseinschleusung über PAPI
- CVSS Base Score: 9.0
- Beschreibung: Ähnlich zu CVE-2024-42509 können speziell geformte Pakete zur Ausführung von Code mit hohen Privilegien führen.
- Schweregrad: Kritisch (CVSS v3.1: 9.0)
- Workaround: Aktivierung der Cluster-Sicherheit für AOS-8-Geräte; Blockieren von Port 8211 für AOS-10.
3. CVE-2024-47461: Authentifizierte Remote-Code-Ausführung (RCE)
- CVSS Base Score: 7.2
- Beschreibung: Ein authentifizierter Angreifer kann durch die CLI-Befehlseinschleusung beliebigen Code mit Administratorrechten ausführen.
- Schweregrad: Hoch (CVSS v3.1: 7.2)
- Workaround: Einschränkung des Zugriffs auf die CLI- und Webschnittstellen auf dedizierte VLANs oder Firewall-Policies.
4. CVE-2024-47462 und CVE-2024-47463: Authentifizierte Datei-Erstellung führt zu RCE
- CVSS Base Score: 7.2
- Beschreibung: Diese Schwachstellen ermöglichen es einem authentifizierten Angreifer, beliebige Dateien zu erstellen, was zu RCE führen kann.
- Schweregrad: Hoch (CVSS v3.1: 7.2)
- Workaround: Zugriffsbeschränkung auf die Management-Schnittstellen durch dedizierte VLANs oder Firewall-Policies.
5. CVE-2024-47464: Authentifizierte Pfad-Traversal-Schwachstelle
- CVSS Base Score: 6.8
- Beschreibung: Ein Angreifer kann durch Path Traversal unbefugt Dateien kopieren und darauf zugreifen.
- Schweregrad: Mittel (CVSS v3.1: 6.8)
- Workaround: Einschränkung der CLI- und Webschnittstellen auf dedizierte VLANs oder durch Firewall-Policies.
Empfehlungen
HPE empfiehlt dringend, die bereitgestellten Sicherheitsupdates zu installieren:
- AOS-10.4.1.5 und höher
- Instant AOS-8.12.0.3 und höher
- Instant AOS-8.10.0.14 und höher
Quelle: https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04722en_us
Fazit
Obwohl derzeit keine aktiven Ausnutzungen oder Proof-of-Concept-Exploits bekannt sind, sollten IT-Administratoren unverzüglich handeln, um potenzielle Risiken zu minimieren. Die Expert:innen bei enthus stehen Ihnen jederzeit für technische Unterstützung zur Verfügung. Nutzen Sie das untenstehende Kontaktformular oder schreiben Sie uns eine E-Mail an hallo@enthus.de.