Zusammenfassung:
Auf 30. April 2024hat Aruba Networking zehn Sicherheitslücken in seinem Betriebssystem ArubaOS bekannt gegeben, darunter vier kritische, nicht authentifizierte Pufferüberlauf-Fehler die zu Remotecodeausführung (RCE) führen können.
Betroffene Produkte: Die Schwachstellen betreffen insbesondere die Netzwerk-Controller- und Gateway-Produkte von Aruba, einschließlich Mobility Conductor, Mobility Controllers, WLAN-Gateways und SD-WAN-Gateways, die über Aruba Central verwaltet werden.
Aufschlag: Eine erfolgreiche Ausnutzung könnte es Bedrohungsakteuren ermöglichen, beliebigen Code mit erhöhten Rechten auf den betroffenen Systemen auszuführen, was möglicherweise zu einer Rekonstruktion des Netzwerks und lateralen Bewegungen führen könnte.
Patch-Verfügbarkeit: Patches sind für betroffene Kunden in den ArubaOS-Versionen 10.6.0.0, 10.5.1.1, 10.4.1.1, 8.11.2.2, 8.10.0.11 verfügbar.
Ausbeutung Status: Aruba Networking ist zum Zeitpunkt der Veröffentlichung kein öffentlicher PoC oder aktiver Exploit bekannt.
Censys's Perspektive: Ab dem 3. Mai 2024 beobachtet Censys 180+ Hosts mit ArubaOS, die über einen offenen SNMP-Dienst erkannt wurden - obwohl dies wahrscheinlich eine Unterschätzung der Gesamtzahl der offenen Hosts ist. Auf fast der Hälfte läuft eine EOL-Version.
Erkennung:
Censys Search Abfrage für exponierte ArubaOS-Geräte: services.software: (Hersteller: "Aruba Networks" und Produkt: "ArubaOS")
Censys ASM-Kunden können die folgende Risikoabfrage verwenden, um nach gefährdeten ArubaOS-Geräten in ihrem Netzwerk zu suchen, die über einen SNMP-Dienst erkannt werden können: risks.name="Anfällige ArubaOS-Installation [CVE-2024-26304, CVE-2024-26305, CVE-2024-33511]". Die betroffenen Geräte werden innerhalb von etwa 24 Stunden mit dem ASM-Arbeitsbereich Ihres Unternehmens verknüpft.
Hintergrund
Am 30. April 2024 gab Aruba Networking, eine Tochtergesellschaft von Hewlett Packard Enterprise (HPE), bekannt, dass zehn Schwachstellen in seinem ArubaOS-Betriebssystem bekannt.bekannt, von denen vier kritische, nicht authentifizierte Pufferüberlauffehler sind, die zu Remotecodeausführung (RCE) führen können: CVE-2024-26305, CVE-2024-26304, CVE-2024-3351und CVE-2024-33512
ArubaOS steuert die verschiedenen Controller, Gateways, Switches und Access Points, aus denen die kabelgebundenen und drahtlosen LAN-Infrastrukturprodukte von Aruba Networking bestehen, die für Unternehmensnetzwerkewie Campus- und Büronetzwerke, zugeschnitten sind. Die Schwachstellen betreffen vor allem einige der Controller- und Gateway-Produkte des Unternehmens, nämlich: Mobility Conductor, Mobility Controllers, WLAN-Gateways und SD-WAN-Gateways, die über Aruba Central verwaltet werden.
Mögliche Folgen einer erfolgreichen Ausnutzung: Ein Bedrohungsakteur könnte jede dieser Schwachstellen ausnutzen, indem er ein manipuliertes HTTP-Paket an den UDP-Port (8211) sendet, der von PAPI (Arubas Access Point Management Protocol) verwendet wird. Bei erfolgreicher Ausnutzung dieser Schwachstelle könnte der Bedrohungsakteur in der Lage sein die Ausführung von beliebigem Code mit erweiterten Rechten auf dem zugrunde liegenden Betriebssystem auf dem Netzwerkgerät.
Dies stellt eine Bedrohung für die Netzwerkintegrität eines Unternehmens dar - die Kompromittierung eines Geräts könnte zu einer seitlichen Verschiebung und Unterbrechung der Wi-Fi-Dienste führen. Mit der Kontrolle über LAN-Geräte könnte ein Bedrohungsakteur den Datenverkehr manipulieren, sensible Daten abfangen und Netzwerkausfälle und Serviceunterbrechungen verursachen.
Aruba Networking hat erklärt, dass sie Es gibt derzeit weder einen öffentlichen PoC noch eine aktive Ausnutzung des Problems.
CensysDie Perspektive
Ab Freitag, 3. Mai 2024Censys beobachtet über 180 Hosts mit exponiertem ArubaOS. Dies ist ein relativ kleiner Internet-Fußabdruck, aber es ist zu beachten, dass diese Zahlen wahrscheinlich die Gesamtzahl der gefährdeten Geräte unterschätzen, da Censys nur ArubaOS-Geräte beobachtet, die einen SNMP-Dienst bereitstellen, insbesondere solche, die SNMP v1 oder v2 verwenden. Dies liegt daran, dass SNMPv3 eine Benutzerauthentifizierung vor dem Zugriff auf Geräteinformationen erfordert.
Knapp die Hälfte ist in Ungarn in einem Netz namens DRAVANET-AS.
Karte der Censys-sichtbaren Hosts, die ArubaOS über einen SNMP-Dienst im öffentlichen Internet offenlegen, Stand: 3. Mai 2024
| Land |
Host-Zahl |
Prozentsatz |
| Ungarn |
94 |
49.74% |
| Vereinigte Staaten |
13 |
6.88% |
| Rumänien |
12 |
6.35% |
| Spanien |
10 |
5.29% |
| Taiwan |
8 |
4.23% |
Top 5 Länder mit Hosts, die ArubaOS einsetzen
Von allen gefährdeten Hosts haben wir 1 Dienst beobachtet, der Anzeichen für einen Patch aufwies. 89, oder fast die Hälftescheinen die Version 8.9.0.2 zu verwenden, eine EOL-Version die potenziell anfällig für diesen Exploit ist.
Empfehlungen für Abhilfemaßnahmen
Patches sind verfügbarfür Kunden, die die folgenden Versionen verwenden, und können über das HPE Networking-Support-Portal heruntergeladen werden..
| Anfällige Software-Versionen |
Flicken |
| 10.5.x.x (10.5.1.0 und niedriger) |
10.5.x.x: 10.5.1.1 und höher |
| 10.4.x.x (10.4.1.0 und niedriger) |
10.4.x.x: 10.4.1.1 und höher |
| 8.11.x.x (8.11.2.1 und darunter) |
8.11.x.x: 8.11.2.2 und höher |
| 8.10.x.x (8.10.0.10 und niedriger) |
8.10.x.x: 8.10.0.11 und höher |
Diese ArubaOS- und SD-WAN-Softwareversionen sind End of Life (EOL) und werden nicht gepatcht:
- ArubaOS 10.3.x.x
- ArubaOS 8.9.x.x
- ArubaOS 8.8.x.x
- ArubaOS 8.7.x.x
- ArubaOS 8.6.x.x
- ArubaOS 6.5.4.x
- SD-WAN 8.7.0.0-2.3.0.x
- SD-WAN 8.6.0.4-2.2.x.x
Es wird auch empfohlen, PAPI Enhanced Security zu aktivieren: https://www.arubanetworks.com/techdocs/ArubaOS_74_Web_Help/Content/mas_guides/system_overview/PAPI_Enhanced_Security.htm
Referenzen:
