[JustisCERT-varsel] [#062-2021] [TLP:CLEAR] Kritisk sårbarhet i ArubaOS og Aruba SD-WAN

Aruba har publisert viktige sikkerhetsoppdateringer som dekker 15 CVEer hvor 1 er kategorisert som kritisk med CVSS-score 9.8 (CVE-2021-37716). Den kritiske sårbarheten berører Aruba Mobility Conductor (tidligere kjent om Mobility Master), Aruba Mobility Controller, Aruba aksesspunkt administrert via Mobility Controller og Aruba SD-WAN Gateway.

Se Aruba sine nettsider [1] [2] for flere detaljer om sårbarhetene.

Berørte produkter er:

• Fysiske og virtuelle løsninger med ArubaOS
• Fysiske og virtuelle løsninger med Aruba SD-WAN

Anbefalinger:

• Patch/oppdater berørte produkter snarest
• Software som er End Of Life (EOL) må oppgraderes til en versjon som får oppdateringer og support
• Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
• Prioriter systemer som kan nås fra internett/gjestenett/nett som virksomheten ikke stoler på

Kilder:
[1] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-016.txt
[2] https://www.arubanetworks.com/support-services/security-bulletins