NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Meerdere kwetsbaarheden verholpen in Aruba networks
                  producten
Advisory ID     : NCSC-2016-0431
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2016-2031, CVE-2016-2032
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Cross-Site Request Forgery (XSRF)
                  Denial-of-Service (DoS)
                  Omzeilen van authenticatie
                  Omzeilen van beveiligingsmaatregel
                  Remote code execution (Administrator/Root rechten)
                  Toegang tot gevoelige gegevens
                  Toegang tot systeemgegevens
Uitgiftedatum   : 20160511
Toepassing      : Aruba Networks Airwave
                  Aruba Networks WLAN controllers
Versie(s)       : Aruba Airwave eerder dan 8.2.0
                  Aruba Instant eerder dan 4.1.3.0 
                  Aruba Instant eerder dan 4.2.3.1
Platform(s)     : 

Samenvatting
   Er zijn meerdere kwetsbaarheden ontdekt in diverse Aruba networks
   producten waaronder Instant en ArubaOS access points, het Airwave
   management platform en het PAPI-protocol dat deze systemen onderling
   gebruiken. Sommige kwetsbaarheden zijn verholpen, andere worden in
   een toekomstige update verholpen en voor weer andere wordt
   aangeraden de configuratierichtlijnen in de &quot;Control Plane Security
   Best Practices&quot;-handleiding te volgen. Zodra verdere
   software-updates beschikbaar zijn zal ook een update van deze
   advisory volgen.

Gevolgen
   Door de kwetsbaarheden te misbruiken kan een kwaadwillende op
   afstand administratieve commando`s uitvoeren, de controle over een
   verbinding met de administratieve webinterface overnemen door een
   cross-site-request forgery (XSRF) aanval, of een Denial-of-Service
   van het netwerk veroorzaken. Ook kan een kwaadwillende met
   administratieve toegang audit-logging omzeilen en willekeurige
   commando`s uitvoeren op het onderliggende besturingssysteem.

Beschrijving
   Het merendeel van de kwetsbaarheden bevindt zich in het
   PAPI-protocol dat tussen de meeste Aruba networks producten wordt
   gebruikt. Dit geldt zowel voor de wireless controllers en de ArubaOS
   Access points als de Airwave management software en Instant Access
   points. Aruba gebruikt CVE-2016-2032 voor alle kwetsbaarheden in het
   Airwave management platform en CVE-2016-2031 voor alle verholpen
   Aruba Instant kwetsbaarheden.
   
   De kwetsbaarheden die relevant zijn voor de inschaling kunnen als
   volgt worden samengevat:
   - In sommige delen van de implementatie van het PAPI-protocol wordt
   niet geverifieerd of een commando wel is verbonden met een sessie
   van een geauthenticeerde gebruiker. Hierdoor kan een
   ongeauthenticeerde kwaadwillende op afstand administratieve
   commando`s uitvoeren zoals het downloaden van de complete
   configuratie van een systeem.
   
   - Het PAPI-protocol gebruikt zwakke versleuteling waardoor een
   kwaadwillende die PAPI-verkeer kan onderscheppen gevoelige
   configuratie-informatie kan verkrijgen.
   
   - De webinterface van het Airwave Managagement Platform gebruikt
   cookies om te beschermen tegen XSRF-aanvallen, maar deze hebben
   onvoldoende entropie waardoor een kwaadwillende ze kan raden en zo
   een beheersessie kan overnemen.
   
   - Binnen de webinterface wordt niet geverifieerd of een &quot;firmware
   upgrade&quot;-commando wel is verbonden met een sessie van een
   geauthenticeerde gebruiker. Hierdoor kan een ongeauthenticeerde
   kwaadwillende op afstand een firmware-upgrade starten, wat een
   herstart en dus Denial-Of-Service van het systeem veroorzaakt. 
   
   - Door onvolledige authenticatie van de firmware-update-server zijn
   met een man-in-the-middle aanval ook firmware downgrades naar oude
   versies mogelijk.
   
   - Door een onvolledigheid in de controle op invoerwaardes kan een
   gebruiker met administratieve toegang tot een Aruba Instant
   controller met &quot;root&quot;-rechten commando&#39;s uitvoeren op het
   onderliggende Linux-systeem.
   
   - Door een onvolledigheid in de controle op invoerwaardes kan een
   gebruiker met administratieve toegang tot een Aruba Instant
   controller de raddb radius configuratie-commando&#39;s uitvoeren
   
   - Met een hard coded &quot;support mode&quot;-wachtwoord kunnen ingelogde
   administratieve Aruba Instant gebruikers audit-logging omzeilen.
   
   - In de Aruba Instant administratieve webinterface worden GET- in
   plaats van POST-requests gebruikt waardoor wachtwoorden
   achterblijven in de cache van diverse systemen.
   
   - Ongeauthenticeerde gebruikers kunnen met de Aruba Instant
   printenv-opcode systeeminformatie opvragen.
   
   - Accesspoints versturen uitgebreide versie-informatie in
   LLDP-berichten en controles voor nieuwe softwareupdates.
   
   - Het is niet mogelijk administratieve TCP- en UDP-poorten voor
   bepaalde netwerken of ip bereiken te sluiten of te filteren. Het
   gaat dan om de PAPI-poort en de Airwave RabbitMQ-poort.

Mogelijke oplossingen
   Installeer op Instant Access Points versie 4.2.3.1 of 4.1.3.0 en
   Airwave 8.2.0. Volg verder de configuratie-instructies in de
   &quot;Control Plane Security Best Practices&quot; handleiding die is te vinden
   op:
   http://community.arubanetworks.com/aruba/attachments/aruba
      /aaa-nac-guest-access-byod/25840/1
      /Control_Plane_Security_Best_Practices_1_0.pdf
   
   Zwakheden in de PAPI-versleuteling en het vaste &quot;support
   mode&quot;-wachtwoord waarbij audit-logging omzeild kan worden zullen
   worden verholpen in de komende Instant firmware versie 4.3.
   
   Verder informatie over kwetsbaarheden is te vinden op de volgende
   webpagina&#39;s:
   
   ArubaOS:
   http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-006.txt
   
   Het Airwave management platform:
   http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-005.txt
   
   Het Aruba Instant platform:
   http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-004.txt

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8

wsDVAwUBVzNRGjeMwlgPRdL0AQjnBgv/QROi8P70VQUjCrZ52Rwf/1OrGk2vDlvt
PiGeIJ0OFtaNEvuASefLvPbw5iFaAOZeqW2q+HdxD0ms7a5LoR2112EzsVanOdUO
h5WJ8DTy7Wy52CUcPerN4GFvlehIZvHhCKyxcJzbrG6nQX0lpfFSHnAr6TK+V+Gw
Vs1wTXa67DLslycIj6Y0tz/huN8AX9SSg/M3MsBmqCCAH5WabiZllZct4hO+F8iK
+rk4TAC5SQV5QWi4UVbeR4KHvZCT5tsHd2bd9zaZvphAh+58bW9OEM0h6cXp4rwH
DN2D1+6lSBxw2lAXOqARkSNYR3U4+kE0bUQh+jMFZ8iu96EhZEo8lUFPoFQuMywg
Hl3qwYtTo2bTlExRUqg2nuDZ6kiU7yKznqhfzCT8g1tFlMmCTRvXI4C0qUG0E57P
35rZJMJfiuiU74j5913fHwo39cuTJfC1E60jzua1qkYJKmgDZcrAbDxj3ASl4iju
QrLF0onWUFyPQLkEP5qDqDM+9zdNMUMj
=g7By
-----END PGP SIGNATURE-----