Kritiska sårbarheter i ArubaOS
Aruba Networks beskriver flera sårbarheter i Aruba Mobility Conductor (tidigare Mobility Master), Aruba Mobility Controllers, WLAN Gateways samt SD-WAN Gateways som manageras av Aruba Central.
De mest allvarliga av sårbarheterna har CVSS-klassning 9.8 och möjliggör att fjärrköra skadlig kod på ett angripet system. [1]
Påverkade produkter
ArubaOS 8.6.x.x (8.6.0.19 och lägre)ArubaOS 8.10.x.x (8.10.0.4 och lägre)ArubaOS 10.3.x.x (10.3.1.0 och lägre)SD-WAN 8.7.0.0-2.3.0.x (8.7.0.0-2.3.0.8 och lägre)
Utöver ovan nämnda versioner finns det äldre versioner som är sårbara. Dessa versioner är end of life och uppdateras inte längre. För en förteckning se Aruba Networks säkerhetsmeddelande. [1]
Rekommendationer
CERT-SE rekommenderar att snarast uppdatera sårbara produkter. Aruba Networks beskriver även att en work-around är att aktivera “Enhanced PAPI security”, och då inte använda sig av standardnyckel.
För ytterligare information, se Aruba Networks säkerhetsmeddelande.
Källor
[1] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt