BSI Warnt vor Karspersky

Sicherheitslücken im Aruba ClearPass Policy Manager

Aktuell gibt es verschiedene Sicherheitslücken in der Lösung Aruba ClearPass. Bei der Software wurden kürzlich einige Sicherheitslücken entdeckt, die der Hersteller bereits behoben hat, aber die durch Software-Updates auf die ClearPass-Server übernommen werden müssen. Wir haben in den vergangenen Tagen bereits unsere Kunden kontaktiert, um die Aktualisierungen durchzuführen und/oder zu planen und wollen hier mit dem Angebot zur Unterstützung und mit den Informationen an die Öffentlichkeit treten.

 

Mehr Details

Sicherheitslücken werden in CVE-Einträgen protokolliert. Die Common Vulnerabilities and Exposures (CVE) bildet ein System mit einheitlicher Namenskonvention zur Referenzierung auf entdeckte Sicherheitslücken. Der Schweregrad einer Sicherheitslücke wird mit dem Common Vulnerability Scoring System (CVSS) in einer Skala ausgedrückt, die bis zur maximalen Wertigkeit von 10 (kritisch) reicht. Zu notieren ist dabei, dass eine Sicherheitslücke mit der Wertigkeit von z.B. 10 nicht zwangsweise bei Ihnen Anwendung finden muss – es kommt immer auch darauf an, wie die Software eingesetzt wird und ob sie eingesetzt wird.

Die aktuell vorhandenen Sicherheitslücken sind wie folgt:

  • CVE-2023-50164: CVSS 9.8
  • CVE-2024-26294: CVSS 7.2
  • CVE-2024-26295: CVSS 7.2
  • CVE-2024-26296: CVSS 7.2
  • CVE-2024-26297: CVSS 7.2
  • CVE-2024-26298: CVSS 7.2
  • CVE-2024-26299: CVSS 6.6
  • CVE-2024-26300: CVSS 6.6
  • CVE-2024-26301, CVSS 6.5
  • CVE-2024-26302, CVSS 4.8

Die Schwachstelle mit dem größten CVSS ist vorhanden, weil die Lösung das Webanwendungs-Framework Apache Struts verwendet. Das Wort Framework kommt dabei aus der Softwareentwicklung und wird grob vereinfacht als Entwicklungsrahmen für grundlegende Architekturen von Software genutzt. Wir alle erinnern uns bestimmt noch an den damaligen Log4j-Vorfall, bei dem Log4j ebenfalls als Framework in vielen Anwendungen verwendet wurde. Wir haben es in dieser Schwachstelle nicht mit den Ausmaßen von Log4j zu tun, aber dennoch findet Apache Struts auch über Aruba ClearPass hinaus Anwendung in vielen Programmen.

Apache Struts erfreut sich allerdings auch wachsendem Interesse bei Hackern, weil das Framework populär ist. Diese Schwachstelle CVE-2023-50164 (CVSS 9.8) bezieht sich dabei darauf, dass ein Angreifer beim Datei-Upload aus dem Upload-Verzeichnis „ausbrechen“ kann, in dem er durch die Schwachstelle Parameter für das Hochladen von Dateien ändert. Sie kann allerdings nur dann ausgenutzt werden, wenn sich der Angreifer Zugang zu einem Upload-Mechanismus verschafft hat, der grundsätzlich aber passwortgeschützt ist.

 

Kurzbeschreibung der weiteren Schwachstellen

Authentifizierte Benutzer können bei Ausnutzung der aufgelisteten Schwachstellen in der webbasierten Verwaltungsoberfläche Befehle auf dem zugrunde liegenden Server ausführen. „Authentifizierte Benutzer“ schließt allerdings ein, dass der Benutzer bereits eingeloggt ist. Ohne Login ist die Ausnutzung nicht möglich.

  • CVE-2024-26294: CVSS 7.2
  • CVE-2024-26295: CVSS 7.2
  • CVE-2024-26296: CVSS 7.2
  • CVE-2024-26297: CVSS 7.2
  • CVE-2024-26298: CVSS 7.2

 
Authentifizierte Benutzer können bei Ausnutzung der aufgelisteten Schwachstelle in der webbasierten Verwaltungsoberfläche einen Cross-Site-Scripting-Angriff (XSS) gegen einen administrativen Benutzer ausführen. Auch hier muss der Angreifer eingeloggt sein und ein administrativer Nutzer muss parallel zum Angreifer eingeloggt sein.

  • CVE-2024-26299: CVSS 6.6
  • CVE-2024-26300: CVSS 6.6

 
Mit geringen Rechten authentifizierte Benutzer können sich durch Ausnutzung der aufgelisteten Schwachstelle in der webbasierten Verwaltungsoberfläche sensible Informationen über die vom ClearPass Policy Manager unterstützen Netzwerkdienste beziehen. Wie zuvor muss der Benutzer authentifiziert sein.

  • CVE-2024-26301, CVSS 6.5

 
Authentifizierte Benutzer mit Administrator-Rechten können bei Ausnutzung der aufgelisteten Schwachstelle auf sensible Informationen im Klartext zugreifen, die sich auf die vom ClearPass Policy Manager unterstützten Netzwerkdienste beziehen. Wie zuvor muss der Benutzer authentifiziert sein.

  • CVE-2024-26302, CVSS 4.8

 

Betroffene Produkte

  • ClearPass Policy Manager 6.12.0
  • ClearPass Policy Manager 6.11.6 und niedriger
  • ClearPass Policy Manager 6.10.8 Hotfix Q4 2023 und niedriger
  • ClearPass Policy Manager 6.9.13 Hotfix Q4 2023 und niedriger
  • End-of-Life Versionen

 

Versionen, in denen die Schwachstellen behoben sind

  • ClearPass Policy Manager 6.12.1 und höher
  • ClearPass Policy Manager 6.11.7 und höher
  • ClearPass Policy Manager 6.10.8 Hotfix Patch 8 Q1 2024 und höher
  • ClearPass Policy Manager 6.9.13 Hotfix Patch 7 Q1 2024 und höher

 

Der nächste Schritt

Da die Schwachstellen bereits behoben wurden, gibt es nur einen Weg: aktualisieren.

Die Aktualisierung über Minor-Releases (6.11.MINOR_RELEASE) kann bei Nutzung eines Clusters aus ClearPass-Servern im laufenden Betrieb mit nur kurzer Ausfallzeit (beim Wechseln zwischen beiden Servern) durchgeführt werden. In jeder aktuell unterstützten Version gibt es einen Minor-Release-Stand, auf dem die Fehler behoben sind (siehe Versionen, in denen die Schwachstellen behoben sind).

Wenn Sie auf Dauer auch die Major-Release-Version (6.MAJOR_RELEASE.xx) aktualisieren möchten, bedarf es keines Updates mehr, sondern eines Upgrades, das geplant werden sollte.

Sollten Sie lediglich eine Einzelinstallation besitzen, sollte das Update möglichst außerhalb der normalen Geschäftszeiten durchgeführt werden, weil es mitunter mehr als eine oder zwei Stunden dauern könnte. Während dieses Zeitraums steht Ihnen der ClearPass für Sie nicht zur Verfügung.

Wenn Sie Unterstützung bei dem Update (Upgrade bitte planen) benötigen, kommen Sie gerne auf uns zu: 0541-9493 111 oder support@sievers-group.com.