HPE Aruba Networking hat zum 14. November 2023 diese Sicherheitswarnung veröffentlicht, in der vor verschiedenen Schwachstellen in Aruba Access Points, die mit InstantOS und ArubaOS 10 laufen, gewarnt wird. HPE hat Sicherheitsupdates für die betroffenen Geräte veröffentlicht, die verschiedene Schwachstellen (als kritisch eingestuft) beseitigen. Details sind in der Sicherheitswarnung oder in diesem heise-Beitrag nachlesbar.
Anzeige
Auch hier wieder die Frage: wer stellt Infrastruktur mit dem "nackten Hintern" direkt ins Netz?
Die Geräte gehören auch gepatched in einer sicheren Umgebung (Stichwort: Lateral Movement) das steht außer Frage, aber aktive Angriffe über's Internet? Bequemlichkeit scheint heute deutlich mehr zu wiegen als Sicherheit :(.
Es scheinen echt viele Firmen keinerlei Sicherheitsbewusstsein zu haben, wer sich Aruba kauft (die sind deakto teuer), sollte auch das Budget "über" haben das alles gescheit zu managen … naja oder es ist halt wie mit Firmenwagen, man muss ja nicht gut fahren können um eine S-Klasse oder nen 7er BMW zu bekommen ;-).
"wer stellt Infrastruktur mit dem "nackten Hintern" direkt ins Netz?"
Jeder, der sich über Sicherheit der Infrastruktur keine Gedanken machen will.
Das ist eine Klasse von Geräten, die zuerst von der Firma Meraki (später Cisco Meraki) erschlossen wurde, Aruba Instant On (jetzt bei HPE) macht im Prinzip das gleiche.
Beliebt sind diese Geräte im offentlichen oder halböffentlichen Sektor, z.B. in Bibliotheken, Schulen, aber auch z.B. in Hotels.
Hauptaufgabe ist es, Internetzugang zu vermitteln, weswegen die natürlich relativ nahe am Internet stehen müssen, darüber gesetzt ist eine cloud-gemanagte Infrastrukturverwaltung, die z.B. einen Zugang via Tickets o.ä. managt und parallel noch die oft (z.B. in Schulen) bestehenden Jugendschutzauflagen über entsprechende Kategorisierung bzw. Sperrlisten erschlägt. Zugang zu einem Firmennetz über solche Geräte ist eher die Ausnahme.
In vielen Fällen kommt auch noch ein Preismodell zum Zuge, das die eigentliche Hardware sehr preiswert abgibt (Meraki hat sie eine Zeitlang verschenkt), aber die zur Nutzung erforderlichen Cloud-Lizenzen teuer und natürlich laufzeitbeschränkt macht.
Kommt dem genannten Clientel entgegen, man hat nur geringe Anschaffungskosten, dafür aber monatlich planbare (wenn auch relativ hohe, aber das ist ein anderes Budget) Betriebskosten.