Sicherheitsupdates: HPE-Aruba-Produkte über mehrere Lücken attackierbar

Angreifer können Systeme mit HPE Aruba Networking AOS-8/AOS-10 oder EdgeConnect SD-WAN Orchestrator attackieren und im schlimmsten Fall Schadcode ausführen. Sicherheitsupdates stehen zum Download bereit.

Geschlossene Schwachstellen

Wie aus einer Warnmeldung hervorgeht, sind AOS-8 und AOS-10 für Mobility Conductors, Controllers und Gateways über zwölf Sicherheitslücken angreifbar. Die Hälfte davon ist mit dem Bedrohungsgrad „hoch“ eingestuft. So kann ein entfernter Angreifer ohne Authentifizierung etwa Dateien löschen, was zu Abstürzen führt (CVE-2025-37168 „hoch“).

In mehreren Fällen (etwa CVE-2025-37169 „hoch“) kann es zur Ausführung von Schadcode kommen. Ansatzpunkt dafür ist das webbasierte Managementinterface. Damit eine solche Attacke klappt, müssen Angreifer aber angemeldet sein. Weiterführende Details zum möglichen Ablauf von Angriffen gibt es derzeit nicht. Derzeit gibt es HPE Aruba Networking zufolge keine Attacken.

Damit es auch nicht dazu kommt, sollten Admins die Sicherheitsupdates zeitnah installieren:

• 10.7.2.2
• 10.4.1.10
• 8.13.1.1
• 8.10.0.21

In der Warnmeldung weisen die Entwickler darauf hin, dass von den Lücken auch nicht mehr im Support befindliche Versionen wie 10.6.c.c und 6.5.4.x betroffen sind. Diese Ausgaben bekommen keine Sicherheitsupdates mehr. An dieser Stelle ist ein Upgrade auf eine noch unterstützte Version fällig.

Weitere Gefahren

EdgeConnect SD-WAN Orchestrator ist einem Beitrag zufolge über fünf Sicherheitslücken angreifbar. Auch hier kann im Kontext des Managementinterfaces Schadcode auf Systeme gelangen (etwa CVE-2025-37181 „hoch“). In diesem Fall gibt es derzeit ebenfalls keine Hinweise auf Attacken. Repariert sind die Ausgaben 9.5.6 und 9.6.1.

(des)