Beveiligingsadvies NCSC-2024-0431 [1.00] [M/H] Kwetsbaarheden verholpen in Aruba Networks ArubaOS

Kwetsbaarheden Geanalyseerd en Verholpen in Aruba Networks ArubaOS

Overzicht

In het besturingssysteem ArubaOS van Aruba Networks zijn kritieke kwetsbaarheden aangetroffen en aangepakt. Deze kwetsbaarheden konden door kwaadwillenden worden misbruikt om potentieel gevaarlijke acties uit te voeren, benadrukkend het belang van adequate beveiligingsmaatregelen.

Gedetailleerde Analyse

Aruba Networks ontdekte verschillende beveiligingsproblemen in hun ArubaOS-platform. Deze omvatten:

  • Command Injection: Deze kwetsbaarheid geeft een aanvaller de mogelijkheid om kwaadaardige commando’s uit te voeren door speciale elementen onjuist te neutraliseren in een beveiligingscontext.
  • Path Traversal: Hierbij wordt een verkeerde beperking opgelegd op padnamen, zodat een aanvaller toegang kan krijgen tot bestanden buiten de bedoelde directories.

Mogelijke Gevolgen

Misbruik van deze kwetsbaarheden kan een aanvaller in staat stellen om controle te krijgen over het besturingssysteem en schade te berokkenen aan de onderliggende systemen. Het is essentieel dat dergelijke beheerdersinterfaces niet publiekelijk toegankelijk zijn, maar binnen een veilige omgeving worden beheerd.

Betrokken Platforms en Productversies

De kwetsbaarheden zijn van invloed op de volgende producten en versies van ArubaOS:

  • Platforms: ArubaOS
  • Producten: Aruba ArubaOS, Aruba Networks Instant, HPE Aruba Networking Access Points Instant AOS-8 en AOS-10
  • Versies: Variërend van 6.4.0.0, 8.10.0.0, tot en met 10.5.0.0, met specifieke kwetsbaarheidspunten in versies zoals 8.10.0.13 en 10.4.1.4

Oplossingen en Aanbevelingen

Aruba Networks heeft software-updates uitgebracht om deze beveiligingslekken te dichten. Gebruikers van de getroffen versies worden dringend geadviseerd om zo snel mogelijk te updaten naar de nieuwste versies. Zie de officiële Aruba Network documentatie voor gedetailleerde informatie en patchinstructies.

CVEs en Bijbehorende Documentatie

De getroffen kwetsbaarheden hebben verschillende CVE-allocaties ontvangen, waarmee ze worden geïdentificeerd in de wereldwijde beveiligingsgemeenschap. De belangrijkste hiervan zijn:

Deze advisories bieden uitgebreide details over de aard van de kwetsbaarheden en de risico’s als gevolg van hen.

Disclaimers

Het Nationaal Cyber Security Centrum (NCSC) adviseert dat de informatie in deze advisory is verstrekt zonder enigerlei garantie. Hoewel het NCSC streeft naar accuraatheid en volledigheid, kunnen er geen rechten worden ontleend aan de aangeboden informatie. Het NCSC is niet aansprakelijk voor eventuele schade die voortvloeit uit het gebruik van de informatie in deze advisory.

Dit document is onderhevig aan het Nederlandse recht en geschillen worden uitsluitend beslecht door de bevoegde rechter te Den Haag.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----