Aruba heeft op 30 april meerdere kritieke kwetsbaarheden gecommuniceerd op het ArubaOS dat gebruikt wordt in verschillende producten.
Deze producten maakten deel uit van vroegere raamovereenkomsten en zijn dus mogelijk in gebruik bij je bestuur.
Gemiddeld hebben alle CVE’s een CVSS-score van 9.8, wat dus zeer kritiek is, met andere woorden onmiddellijk exploiteerbaar door hackers.
Lijst van CVE’s:
- CVE-2024-26304, CVE-2024-26305, CVE-2024-33511,
- CVE-2024-33512, CVE-2024-33513, CVE-2024-33514,
- CVE-2024-33515, CVE-2024-33516, CVE-2024-33517,
- CVE-2024-33518
Geïmpacteerde hardware:
- HPE Aruba Networking Mobility Conductor (formerly Mobility Master)
- HPE Aruba Networking Mobility Controllers
- WLAN Gateways and SD-WAN Gateways managed by Aruba Central
Geimpacteerde software:
- ArubaOS 10.5.x.x: 10.5.1.0 en lager
- ArubaOS 10.4.x.x: 10.4.1.0 en lager
- ArubaOS 8.11.x.x: 8.11.2.1 en lager
- ArubaOS 8.10.x.x: 8.10.0.10 en lager
- ArubaOS 10.3.x.x: unsupported
- ArubaOS 8.9.x.x: unsupported
- ArubaOS 8.8.x.x: unsupported
- ArubaOS 8.7.x.x: unsupported
- ArubaOS 8.6.x.x: unsupported
- ArubaOS 6.5.4.x: unsupported
- SD-WAN 8.7.0.0-2.3.0.x: unsupported
- SD-WAN 8.6.0.4-2.2.x.x: unsupported
Advies
- Patch onmiddellijk jullie omgeving of laat deze patchen door jullie leveranciers, naar minstens de volgende versies:
- ArubaOS 10.6.x.x: 10.6.0.0 en hoger
- ArubaOS 10.5.x.x: 10.5.1.1 en hoger
- ArubaOS 10.4.x.x: 10.4.1.1 en hoger
- ArubaOS 8.11.x.x: 8.11.2.2 en hoger
- ArubaOS 8.10.x.x: 8.10.0.11 en hoger
- Downloadlink: https://networkingsupport.hpe.com/home/
- Tijdelijke workaround: activeer de Enhanced PAPI Security functionaliteit met een niet standaard sleutel
Bron: https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-004.txt
Gepubliceerd op vrijdag 3 mei 2024 12:30