Download
Beveilingsadvies; NCSC-2016-0431
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Meerdere kwetsbaarheden verholpen in Aruba networks
producten
Advisory ID : NCSC-2016-0431
Versie : 1.00
Kans : medium
CVE ID : CVE-2016-2031, CVE-2016-2032
(http://cve.mitre.org/cve/)
Schade : high
Cross-Site Request Forgery (XSRF)
Denial-of-Service (DoS)
Omzeilen van authenticatie
Omzeilen van beveiligingsmaatregel
Remote code execution (Administrator/Root rechten)
Toegang tot gevoelige gegevens
Toegang tot systeemgegevens
Uitgiftedatum : 20160511
Toepassing : Aruba Networks Airwave
Aruba Networks WLAN controllers
Versie(s) : Aruba Airwave eerder dan 8.2.0
Aruba Instant eerder dan 4.1.3.0
Aruba Instant eerder dan 4.2.3.1
Platform(s) :
Samenvatting
Er zijn meerdere kwetsbaarheden ontdekt in diverse Aruba networks
producten waaronder Instant en ArubaOS access points, het Airwave
management platform en het PAPI-protocol dat deze systemen onderling
gebruiken. Sommige kwetsbaarheden zijn verholpen, andere worden in
een toekomstige update verholpen en voor weer andere wordt
aangeraden de configuratierichtlijnen in de "Control Plane Security
Best Practices"-handleiding te volgen. Zodra verdere
software-updates beschikbaar zijn zal ook een update van deze
advisory volgen.
Gevolgen
Door de kwetsbaarheden te misbruiken kan een kwaadwillende op
afstand administratieve commando`s uitvoeren, de controle over een
verbinding met de administratieve webinterface overnemen door een
cross-site-request forgery (XSRF) aanval, of een Denial-of-Service
van het netwerk veroorzaken. Ook kan een kwaadwillende met
administratieve toegang audit-logging omzeilen en willekeurige
commando`s uitvoeren op het onderliggende besturingssysteem.
Beschrijving
Het merendeel van de kwetsbaarheden bevindt zich in het
PAPI-protocol dat tussen de meeste Aruba networks producten wordt
gebruikt. Dit geldt zowel voor de wireless controllers en de ArubaOS
Access points als de Airwave management software en Instant Access
points. Aruba gebruikt CVE-2016-2032 voor alle kwetsbaarheden in het
Airwave management platform en CVE-2016-2031 voor alle verholpen
Aruba Instant kwetsbaarheden.
De kwetsbaarheden die relevant zijn voor de inschaling kunnen als
volgt worden samengevat:
- In sommige delen van de implementatie van het PAPI-protocol wordt
niet geverifieerd of een commando wel is verbonden met een sessie
van een geauthenticeerde gebruiker. Hierdoor kan een
ongeauthenticeerde kwaadwillende op afstand administratieve
commando`s uitvoeren zoals het downloaden van de complete
configuratie van een systeem.
- Het PAPI-protocol gebruikt zwakke versleuteling waardoor een
kwaadwillende die PAPI-verkeer kan onderscheppen gevoelige
configuratie-informatie kan verkrijgen.
- De webinterface van het Airwave Managagement Platform gebruikt
cookies om te beschermen tegen XSRF-aanvallen, maar deze hebben
onvoldoende entropie waardoor een kwaadwillende ze kan raden en zo
een beheersessie kan overnemen.
- Binnen de webinterface wordt niet geverifieerd of een "firmware
upgrade"-commando wel is verbonden met een sessie van een
geauthenticeerde gebruiker. Hierdoor kan een ongeauthenticeerde
kwaadwillende op afstand een firmware-upgrade starten, wat een
herstart en dus Denial-Of-Service van het systeem veroorzaakt.
- Door onvolledige authenticatie van de firmware-update-server zijn
met een man-in-the-middle aanval ook firmware downgrades naar oude
versies mogelijk.
- Door een onvolledigheid in de controle op invoerwaardes kan een
gebruiker met administratieve toegang tot een Aruba Instant
controller met "root"-rechten commando's uitvoeren op het
onderliggende Linux-systeem.
- Door een onvolledigheid in de controle op invoerwaardes kan een
gebruiker met administratieve toegang tot een Aruba Instant
controller de raddb radius configuratie-commando's uitvoeren
- Met een hard coded "support mode"-wachtwoord kunnen ingelogde
administratieve Aruba Instant gebruikers audit-logging omzeilen.
- In de Aruba Instant administratieve webinterface worden GET- in
plaats van POST-requests gebruikt waardoor wachtwoorden
achterblijven in de cache van diverse systemen.
- Ongeauthenticeerde gebruikers kunnen met de Aruba Instant
printenv-opcode systeeminformatie opvragen.
- Accesspoints versturen uitgebreide versie-informatie in
LLDP-berichten en controles voor nieuwe softwareupdates.
- Het is niet mogelijk administratieve TCP- en UDP-poorten voor
bepaalde netwerken of ip bereiken te sluiten of te filteren. Het
gaat dan om de PAPI-poort en de Airwave RabbitMQ-poort.
Mogelijke oplossingen
Installeer op Instant Access Points versie 4.2.3.1 of 4.1.3.0 en
Airwave 8.2.0. Volg verder de configuratie-instructies in de
"Control Plane Security Best Practices" handleiding die is te vinden
op:
http://community.arubanetworks.com/aruba/attachments/aruba
/aaa-nac-guest-access-byod/25840/1
/Control_Plane_Security_Best_Practices_1_0.pdf
Zwakheden in de PAPI-versleuteling en het vaste "support
mode"-wachtwoord waarbij audit-logging omzeild kan worden zullen
worden verholpen in de komende Instant firmware versie 4.3.
Verder informatie over kwetsbaarheden is te vinden op de volgende
webpagina's:
ArubaOS:
http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-006.txt
Het Airwave management platform:
http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-005.txt
Het Aruba Instant platform:
http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-004.txt
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8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=g7By
-----END PGP SIGNATURE-----
