Sicherheitslücken im Betriebssystem von Aruba Networking Access Points

Das Unternehmen HPE veröffentlichte eine Sicherheitsmeldung zu den folgenden sechs Sicherheitslücken im Betriebssystem AOS seiner Aruba Networking Access Points:

• CVE-2024-42509 mit CVSS-Score von 9.8/10 ermöglicht einen RCE-Angriff (Remote Code Execution).
• CVE-2024-47460 mit CVSS-Score von 9.0/10 ermöglicht einen RCE-Angriff.
• CVE-2024-47461 mit CVSS-Score von 7.2/10 ermöglicht einen RCE-Angriff. 
• CVE-2024-47462 mit CVSS-Score von 7.2/10 ermöglicht Angreifenden, beliebige Dateien auf den betroffenen Systemen zu erstellen. 
• CVE-2024-47463 mit CVSS-Score von 7.2/10 ermöglicht Angreifenden, beliebige Dateien auf den betroffenen Systemen zu erstellen. 
• CVE-2024-47464 mit CVSS-Score von 6.8/10 ermöglicht Angreifenden, beliebige Dateien auf den betroffenen Systemen zu kopieren und von dort abzugreifen.

Folgende AOS-Versionen sind von den Schwachstellen betroffen:

• AOS-10.4.x.x: 10.4.1.4 und früher
• Instant AOS-8.12.x.x: 8.12.0.2 und früher
• Instant AOS-8.10.x.x: 8.10.0.13 und früher

HPE stellt abgesicherte Versionen der Betriebssoftware AOS bereit.

• Aktualisieren Sie Ihre AOS-Version umgehend auf eine abgesicherte Variante.
• Wenn Sie Ihre AOS-Version nicht zeitnah aktualisieren können, aktivieren Sie bei Instant-AOS-Version 8 die Funktion Cluster-Security. Weiter beschränken Sie bei allen AOS-Versionen den Zugriff auf den UDP-Port 8211.