• Homepage
  • /
  • Support
  • /
  • Richtlinie zur Reaktion auf Sicherheitsvorfälle bei Produkten

Richtlinie zur Reaktion auf Sicherheitsvorfälle bei Aruba-Produkten

Umfang

Das für Produktsicherheitsvorfälle zuständige Team (Product Security Incident Response Team, kurz „SIRT“) von Aruba kümmert sich um die Entgegennahme, Verfolgung, Verwaltung und Veröffentlichung von Schwachstellen bei Aruba-Produkten. Dieses Team arbeitet aktiv mit industriellen und gemeinnützigen Organisationen, Behörden sowie der Sicherheits-Community zusammen, wenn Schwachstellen gemeldet werden. Eine Sicherheitsschwachstelle ist definiert als jede Schwachstelle in einem Produkt, die es Angreifern ermöglicht, die Vertraulichkeit, Integrität oder Verfügbarkeit eines Produkts, einer Kundeninfrastruktur oder eines IT-Systems durch ein Aruba-Produkt in dieser Umgebung zu gefährden.

Diese Aktivitäten beziehen sich auf Produkte, die von Aruba, einem Unternehmen von Hewlett Packard Enterprise, unter dem Markennamen „Aruba“ hergestellt oder verkauft werden, einschließlich SaaS-Lösungen von Aruba wie Aruba Central. Es werden nur Produkte und Softwareversionen abgedeckt, die derzeit unterstützt werden und das Supportende noch nicht erreicht haben. Die Daten hierzu sind auf der entsprechenden Aruba-Seite aufgeführt. Zusätzlich zu den Produkten der Marke Aruba deckt das Aruba-SIRT auch aktuell unterstützte Produkte ab, die von Aruba-Tochtergesellschaften oder übernommenen Unternehmen hergestellt werden, sowie aktuell unterstützte Switching-Produkte der Marke HP ProCurve.

Dabei hält sich das Team an die Norm ISO/IEC 29147:2018.

Kontakt mit Aruba in Bezug auf Sicherheit

Aruba-Produkte – Allgemeine Sicherheitsanfragen

Viele Kunden haben Fragen und Bedenken bezüglich der Sicherheit von Aruba-Produkten, darunter auch folgende:

  • allgemeine Sicherheitsfragen
  • sicherheitsrelevante Konfigurationsfragen, die nicht im Härtungsleitfaden behandelt werden
  • Fragen dazu, ob Sie von einer Produktschwachstelle betroffen sind oder nicht
  • Fragen in Bezug auf (eine) bestimmte CVE(s)
  • Fragen in Zusammenhang mit den Ergebnissen eines Schwachstellen-Scanners
  • Unterstützung in Notfällen

Im Allgemeinen sollten Sie sich bei dieser Art von Anfragen zunächst unter folgenden Kontaktdaten an das Aruba Technical Assistance Center (TAC) wenden.

Unterstützung in Notfällen bezüglich Switching-Produkten (einschließlich HP ProCurve)Unterstützung in Notfällen bezüglich aller anderen Arube-Produkte
+1 844 806-3425 (Nordamerika)+1 800 943-4526 oder +1 408 754-1200 (Nordamerika)
Kontaktinformationen außerhalb NordamerikasKontaktinformationen außerhalb Nordamerikas

Andere als Aruba-HPE-Produkte

Wenden Sie sich bezüglich Schwachstellen bei anderen als Aruba-HPE-Produkten an das HPE-PSIRT unter https://www.hpe.com/h41268/live/index_e.aspx?qid=11503.

Aruba-Websites, digitale Arbeitsplatzsysteme oder nicht produktbezogene Vorfälle

Senden Sie eine E-Mail an security@hpe.com.

Verdacht auf Produktschwachstellen bei Aruba

Wenn Sie eine Produktschwachstelle bei einem Aruba-Produkt vermuten, wenden Sie sich direkt an das Aruba-SIRT. Übermitteln Sie dabei einen Machbarkeitsprüfungscode, ein entsprechendes Verfahren und/oder alle unten aufgeführten Details, die auf eine mögliche Kompromittierung eines Aruba-Produkts oder der Umgebung (aufgrund der Aruba-Produktschwachstelle) hinweisen.

Die bevorzugte Methode zur Meldung solcher Produktschwachstellen an Aruba ist das Senden einer E-Mail an sirt@arubanetworks.com mit Ihrem öffentlichen PGP-Schlüssel (ID 0x458586D9), den Sie auf öffentlichen Schlüsselservern oder auch unter www.arubanetworks.com/support-services/public-key finden.

Geben Sie in Ihrer E-Mail unbedingt Folgendes an:

  1. eine ausführliche Beschreibung des Problems zusammen mit einem technischen Ansprechpartner für alle damit verbundenen Fragen
  2. Liste der betroffenen Aruba-Hardware
  3. betroffene Aruba-Softwareversionen
  4. detaillierte Beschreibung des Problems, die idealerweise genügend Informationen enthält, um das Problem zu reproduzieren
  5. Protokolle, Absturzberichte, Screenshots und andere unterstützende Informationen

Wenn Ihre E-Mail den Kriterien oben entspricht, wird sie innerhalb von 24 Stunden vom Aruba-SIRT bestätigt. Anschließend benötigen wir bis zu fünf Werktage, um den gemeldeten Sachverhalt zu überprüfen und eine Antwort vorzubereiten bzw. weitere Informationen anzufordern, falls erforderlich. Wir wären Ihnen dankbar, wenn Sie unsere Antwort abwarten könnten, bevor Sie das Problem anderweitig weiterleiten.

Das Aruba-SIRT ist nicht für IT-Systeme, Netzwerke oder Websites von HPE oder Aruba zuständig, die „keine Produkte“ sind. Wenden Sie sich an die Ansprechpartner oben für die entsprechenden Produkte und Dienstleistungen.

Das Team kann keine Reaktion auf Sicherheitsvorfälle oder forensische Untersuchungen in Zusammenhang mit Produkten durchführen, die in Kundenumgebungen eingesetzt werden. Es bietet jedoch Unterstützung, wenn eine durch Kunden initiierte Untersuchung Beweise für eine bisher unbekannte Produktschwachstelle zeigt.

Das Engagement von Aruba für Produktsicherheit und -integrität

Die Produktentwicklungspraktiken von Aruba stimmen im Allgemeinen mit dem OWASP OpenSAMM-Framework überein und die meisten Produkte von Aruba sind so konzipiert, dass sie den relevanten ISO/IEC 15408-Schutzprofilen (Common Criteria) entsprechen.

Durch die Unternehmensrichtlinien von HPE und Aruba sind Produktfunktionen oder -fähigkeiten untersagt, die absichtlich unbefugten Geräte- oder Netzwerkzugriff, die Preisgabe sensibler Kundendaten oder die Umgehung von Sicherheitsfunktionen ermöglichen. Insbesondere zählen dazu:

  • nicht preisgegebene Methoden für nicht autorisierten Gerätezugriff (auch sogenannte „Hintertüren“)
  • absichtlich erzeugte Protokoll- oder Kryptographieschwächen
  • festcodierte oder nicht dokumentierte Konten und Anmeldedaten für Konten
  • verdeckte Kommunikationskanäle
  • nicht dokumentierte Funktionen zum Kopieren oder Umleiten von Netzwerkverkehr

Bei Aruba gilt solches Produktverhalten als schwerwiegende Schwachstelle und wird entsprechend behandelt. Dabei werden die Schwachstellen durch Aruba behoben und Hinweise auf die Schwachstellen herausgegeben.

Das Engagement von Aruba für die Sicherheits-Community

Aruba hat die Arbeit der Sicherheits-Community und -forscher stets unterstützt. Wir wissen ihre Arbeit zur Verbesserung der Sicherheit von Technologieprodukten zu schätzen und engagieren uns bei der Zusammenarbeit mit ihnen, um Schwachstellen in unseren Produkten zu finden, zu überprüfen und zu beheben. Außerdem ermutigen wir diese Community, sich an einem verantwortungsvollen Offenlegungsprozess zu beteiligen.

Für die Förderung verantwortungsvoller Meldungen von Schwachstellen leitet Aruba keine rechtlichen Schritte gegen Einzelpersonen oder Gruppen ein, die in gutem Glauben legitime Sicherheitsrecherchen durchführen und Sicherheitslücken in Aruba-Produkten oder -Dienstleistungen melden, sofern dabei folgende Richtlinien eingehalten werden:

  • Alle notwendigen Informationen werden angegeben, um die Schwachstelle zu reproduzieren.
  • Die Privatsphäre von Kunden, Partnern oder Benutzern von Aruba wird nicht verletzt. Beim Erlangen von Informationen, die die Privatsphäre verletzen, müssen die entsprechenden Informationen sicher an Aruba gemeldet und anschließend vernichtet werden.
  • Es werden keine Informationen geändert, die Ihnen nicht gehören.
  • Aruba erhält eine angemessene Frist zur Behebung und Veröffentlichung der Schwachstelle, bevor die Informationen veröffentlicht werden. Das Aruba-SIRT kann Ihnen auf Anfrage den aktuellen Stand zu Meldungen von Schachstellen mitteilen.
  • Es werden keine Gesetze gebrochen.

Insbesondere gilt außerdem:

  • Bei Aruba gilt legitime Sicherheitsforschung in gutem Glauben nicht als Verstoß gegen den Aruba-Endbenutzer-Lizenzvertrag, selbst wenn diese Nachforschungen die Rückentwicklung von Aruba-Technologie beinhaltet.
  • Aruba erhebt keine Klage aufgrund von Urheberrechtsverletzungen gemäß dem Digital Millennium Copyright Act gegen Sicherheitsforscher, die rechtmäßig und in gutem Glauben handeln, selbst wenn diese Nachforschungen die Umgehung von Sicherheitsmechanismen in den Aruba-Produkten umfasst.
  • Bei Aruba gilt der Zugriff auf ein durch das Aruba-SIRT abgedecktes Produkt durch Sicherheitsforscher, die rechtmäßig und in gutem Glauben handeln, nicht als Zugriff ohne Autorisierung oder als Zugriff, der über die Autorisierung gemäß dem Computer Fraud and Abuse Act hinausgeht, vorausgesetzt, dass diese Richtlinien bei den Nachforschungen eingehalten werden.

Aruba würdigt Sicherheitsforscher in den veröffentlichten Hinweisen auf Schwachstellen öffentlich. Einige Aruba-Produkte sind Teil eines Bug Bounty-Programms, das von Bugcrowd verwaltet wird. Daher zahlen wir Belohnungen an Forscher aus, die sich für die Teilnahme an diesem Programm entscheiden. Zahlungen werden auch dann geleistet, wenn Forscher eine Schwachstelle zunächst direkt an Aruba melden und später über das Bug Bounty-Programm.

Im Zuge legitimer Sicherheitsforschungen können Aruba-Produkte entweder absichtlich oder unabsichtlich funktionsunfähig gemacht werden. Aruba bemüht sich in solchen Fällen im Rahmen wirtschaftlich angemessener Anstrengungen, Forscher bei der einmaligen Reparatur solcher Produkte zu unterstützen.

Aruba-Prozess zur Reaktion auf Schwachstellen

Alle an das Aruba-SIRT gesendeten Berichte bei Verdacht auf potenzielle Schwachstellen im Zusammenhang mit Aruba-Produkten werden von SIRT-Mitgliedern überprüft und bearbeitet. Diese Überprüfung erfolgt anhand einer schriftlichen Beschreibung der vermuteten Schwachstelle und aller anderen gemeldeten Daten. In einigen Fällen sind zusätzliche Informationen erforderlich, um mit der Überprüfung beginnen zu können.

Das Aruba-SIRT verwendet einen gründlichen Überprüfungs- und Analyseprozess, um gemeldete Schwachstellen bestmöglich zu beurteilen und zu kategorisieren. Dazu benötigen wir detaillierte technische Informationen und szenariobasierte Beschreibungen. Nachdem das Aruba-SIRT eine erste Beurteilung durchgeführt hat, wird ein Schweregrad zugewiesen. Das SIRT wird sich mit Meldungsabsendern in Verbindung setzen, um den Status der Untersuchung und den Schweregrad der Schwachstelle (falls vorhanden) zu aktualisieren. Es folgt eine Zusammenarbeit, um einen geplanten Zeitrahmen für die Behebung der Schwachstelle sowie Pläne für die Kommunikation mit Kunden und der Öffentlichkeit festzulegen.

Das Aruba-SIRT trägt die Gesamtverantwortung für die Verwaltung des Prozesses zur Entwicklung und Verteilung von Umgehungslösungen sowie Patches für Schwachstellen, um sicherzustellen, dass während des Benachrichtigungsprozesses die entsprechenden Aspekte des Kundensupports erfüllt werden. Sobald die Umgehungslösungen und Patches für Kunden zur Verfügung stehen, veröffentlicht das Team die Hinweise auf der SIRT-Website für den einfachen Zugriff durch Kunden.

Sämtliche Informationen, die das Aruba-SIRT erhält, werden vertraulich behandelt und ihre Weitergabe wird daher auf eine begrenzte Gruppe von Aruba-Experten beschränkt, die über spezielle Fähigkeiten zur Erstellung eines möglichst umfassenden Aktionsplans zur Problemlösung verfügen. Darüber hinaus müssen alle Beteiligten, auch Meldungsabsender, die Informationen so lange vertraulich behandeln, bis Aruba Lösungspläne und Optionen zur Schadensbegrenzung für Kunden sowie koordinierte Kunden- und Öffentlichkeitsarbeit zur Verfügung stellen kann. Sollte öffentliche Anerkennung für das Auffinden der Schwachstelle gewünscht sein, erfolgt eine entsprechende Erwähnung durch Aruba im Rahmen des veröffentlichten Sicherheitshinweises.

Richtlinien zur Offenlegung

Aruba behandelt und veröffentlicht Schwachstellen in Übereinstimmung mit der Norm ISO/IEC 30111.

Die Veröffentlichung von Schwachstellen erfolgt in der Regel erst, wenn dauerhafte Korrekturen verfügbar sind. Treten Schwachstellen in mehreren Softwarezweigen oder -produkten auf, veröffentlicht Aruba entsprechende Hinweise, sobald der letzte Zweig bzw. das letzte Produkt aktualisiert und veröffentlicht wurde. Sollte bei Aruba bekannt werden, dass Informationen über eine unveröffentlichte Schwachstelle nach außen dringen, wird sofort ein entsprechender Hinweis veröffentlicht, zusammen mit Einzelheiten zu möglichen Umgehungs- oder Schutzmaßnahmen. Im Falle von Schwachstellen in Open-Source-Software, die öffentlich besprochen werden, veröffentlicht Aruba sofort einen Sicherheitshinweis, sobald festgestellt wurde, dass die Schwachstelle ein Aruba-Produkt betrifft.

Ein erster solcher Hinweis enthält allgemeine Informationen zur Schwachstelle, Umgehungslösungen sowie Schritte zur Behebung der Schwachstelle. Der öffentliche Hinweis ist die einzige Information, die Aruba in den ersten 60 Tagen für alle bereitstellt. Anschließend kann Aruba nach eigenem Ermessen alle Einzelheiten über die Schwachstelle veröffentlichen. Sicherheitsforscher, die Details zu einer Schwachstelle bei Aruba veröffentlichen möchten (z. B. in einem Blog oder bei einer Konferenz), werden gebeten, diesen Zeitraum von 60 Tagen nach Veröffentlichung des entsprechenden Hinweises abzuwarten. Bitte informieren Sie Aruba möglichst darüber, dass eine solche Präsentation geplant ist.

Die Offenlegung verläuft unter keinen Umständen selektiv. Es gehört zu den Grundsätzen von Aruba, alle Kunden gleichzeitig über Schwachstellen zu informieren. Keinerlei Kunden, Partner oder Drittanbieter von Aruba erhalten eine Vorankündigung oder zusätzliche Details zu einer Schwachstelle. Die OEM-Partner von Aruba werden in der Regel drei Tage vor der Veröffentlichung benachrichtigt, damit sich die jeweiligen Sicherheitsteams auf die Benachrichtigung ihrer eigenen Kunden vorbereiten können. Diese Partner haben sich vertraglich dazu verpflichtet, die Benachrichtigung über Schwachstellen mit Aruba zu koordinieren, sodass alle Endbenutzer zur gleichen Zeit alarmiert werden. Mitarbeiter von Aruba, die in direktem Kontakt zu Kunden stehen (TAC, SE usw.), erhalten etwa 18 Stunden vor der Veröffentlichung eine Kopie des Hinweises, dürfen diese Informationen aber nicht weitergeben, bevor sie offiziell freigegeben sind. OEM-Partner und Mitarbeiter mit direktem Kundenkontakt erhalten nur eine Kopie des öffentlichen Hinweises, nicht alle Details zur entsprechenden Schwachstelle.

Erhalt von Sicherheitshinweisen

Aktuelle Sicherheitshinweise werden auf der Aruba-SIRT-Website veröffentlicht. Dort finden Sie außerdem ein Archiv mit früheren Hinweisen.

Aruba bietet einen E-Mail-Benachrichtigungsdienst für Sicherheitshinweise an. Sie können diesen Dienst im Selbstbedienungsportal abonnieren. Er steht der Öffentlichkeit zur Verfügung und wird auf Best-Effort-Basis über einen kommerziellen Anbieter für Mailinglisten angeboten. Aruba kann andere Benachrichtigungskanäle im Rahmen von Premium-Supportangeboten anbieten, wird aber unter keinen Umständen einen „Vorab-Benachrichtigungsdienst“ einrichten.

Über dieses Dokument

Dieses Dokument wird „wie besehen“ zur Verfügung gestellt und impliziert keinerlei Garantie oder Gewährleistung, ebenso jegliche Gewährleistung der Gebrauchstauglichkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen in diesem Dokument oder von Materialien, die mit diesem Dokument verlinkt sind, erfolgt auf Ihr eigenes Risiko. Aruba behält sich das Recht vor, dieses Dokument jederzeit und ohne Vorankündigung zu ändern oder zu aktualisieren.