Die HPE-Tochtergesellschaft Aruba hat kürzlich Aktualisierungen für ihre ArubaOS-Firmware veröffentlicht. Diese Updates beheben hochriskante Sicherheitslücken, die es Angreifern ermöglichen könnten, Codes einzuschmuggeln. IT-Verantwortliche sollten die Updates schnellstmöglich herunterladen und installieren, um die Schwachstellen in der ArubaOS-Firmware der Geräte der HPE-Tochter zu beheben.
Insgesamt hat Aruba neun Sicherheitslücken geschlossen. Vier der Lücken werden vom Hersteller als hohes Risiko eingestuft, während die restlichen fünf als mittleres Risiko bewertet wurden.
Sicherheitslücke mit hohem Risiko
Eine der Sicherheitslücken betrifft die webbasierte Verwaltungsoberfläche von ArubaOS und ermöglicht es nicht authentifizierten Cyberkriminellen, einen sogenannten Stored Cross-Site-Scripting (XSS)-Angriff gegen Nutzer des Webinterfaces auszuführen. Dadurch können die Cyberkriminellen nach einer erfolgreichen Attacke beliebigen Skriptcode im Browser des Opfers ausführen (CVE-2023-35971, CVSS 8.8, Risiko „hoch“). Darüber hinaus können angemeldete Nutzer über das Webinterface Fernbefehle einschleusen, die dann im unterliegenden Betriebssystem als privilegierter Nutzer ausgeführt werden (CVE-2023-35972, CVSS 7.2, hoch).
Zwei ähnliche Sicherheitslücken wurden auch im Kommandozeilen-Interface von ArubaOS entdeckt (CVE-2023-35973, CVE-2023-35974, beide CVSS 7.2, hoch). Diese Schwachstellen betreffen laut Aruba die HPE Aruba Mobility Conductor, den Mobility Controller sowie WLAN- und SD-WAN-Gateways, die von IT-Verantwortlichen mit Aruba Central verwaltet werden.
Die betroffene Software umfasst ArubaOS-Versionen bis einschließlich 10.4.0.1, 8.11.1.0, 8.10.0.6 und 8.6.0.20. Einige der Sicherheitslücken betreffen auch ArubaOS 8.9.x.x, 8.8.x.x, 8.7.x.x, 6.5.4.x, SD-WAN 8.7.0.0-2.3.0.x und 8.6.0.4-2.2.x.x – diese Versionen haben jedoch das Ende des Supports erreicht und erhalten daher keine weiteren Updates, um die Sicherheitslücken zu schließen. Nur die neueren Software-Versionen wie ArubaOS 10.4.0.2, 8.11.1.1, 8.10.0.7 sowie 8.6.0.21 und höher stehen zur Verfügung, um die Sicherheitslücken zu beheben.
Bereits im Mai hatte die HPE-Tochter Updates für ihre Access Points veröffentlicht, um kritische Sicherheitslücken zu schließen, die es Angreifern ermöglicht hätten, die Access Points