Im ArubaOS-Betriebssystem für die Verwaltungslösungen Aruba Mobility Conductor (ehemals Mobility Master), Aruba Mobility Controller sowie in durch Aruba Central verwalteten WLAN- und SD-WAN-Gateways hat der Hersteller zahlreiche Sicherheitslücken ausgemacht. Davon stellen mehrere ein kritisches Sicherheitsrisiko dar und erlauben Angreifern, mittels manipulierter Pakete eingeschleusten Code mit privilegierten Rechten auf dem unterliegenden Betriebssystem auszuführen. Der erste Satz kritischer Sicherheitslücken in ArubaOS ermöglicht auf mehreren Wegen, Befehle einzuschleusen – sie sind vom Typ „Command Injection“. Genauere Informationen, in welcher Komponente sich die Lücke findet und wie Angreifer sie konkret missbrauchen können, nennt Aruba nicht. Die Schwachstelle ermöglicht jedoch durch das Senden sorgsam präparierter Netzwerkpakete mit dem PAPI-Protokoll (Arubas Access-Point-Verwaltungs-Protokoll) an UDP-Port 8211, beliebigen Code als privilegierter Nutzer auf dem darunterliegenden Betriebssystem auszuführen (CVE-2023-22747, CVE-2023-22748, CVE-2023-22749, CVE-2023-22750; CVSS 9.8, Risiko „kritisch“). Angreifer könnten zudem durch das Senden manipulierter Netzwerkpakete mit dem PAPI-Protokoll stack-basierte Pufferüberläufe provozieren. Auch dies ermöglicht das Ausführen von eingeschmuggeltem Schadcode mit erhöhten Rechten (CVE-2023-22751, CVE-2023-22752, CVSS 9.8, kritisch). Die weiteren Schwachstellen, die teils noch ein hohes Risiko darstellen, sowie Details dazu finden sich in der Sicherheitsmeldung von Aruba. Die Schwachstellen behebt der Hersteller in den ArubaOS-Versionen 8.10.0.5, 8.11.0.0 sowie 10.3.1.1 und neueren sowie mit SD-WAN 8.7.0.0-2.3.0.9 und aktuelleren Fassungen. Aruba stellt zudem ArubaOS 8.6.0.20 bereit, was jedoch nicht alle der jetzt gefundenen Lücken schließt. IT-Verantwortliche, die die vorgeschlagenen temporären Umgehungsmaßnahmen umsetzen, sollten berücksichtigen, dass die anderen Sicherheitslücken in den vorgenannten Versionen abgedichtet werden. Als zwischenzeitliche Workarounds schlägt Aruba unter anderem vor, die Verwaltungsgeräte wie Controller und Gateways mit den Access-Points lediglich in beschränkten Layer-2-Segmenten (VLANs) miteinander kommunizieren zu lassen. Falls die betroffenen Geräte Layer-3-Grenzen überschreiten, sollten Firewall-Regeln die Kommunikation damit auf autorisierte Geräte beschränken. Zum Zeitpunkt der Meldung hat Aruba noch keine Hinweise auf Angriffe auf die Schwachstellen erhalten. Ende vergangenen Oktobers musste Aruba im ArubaOS schon einmal teils kritische Schwachstellen schließen. Auch da konnten Angreifer mit manipulierten Anfragen beliebigen Code einschleusen.
