Hewlett Packard Enterprise (HPE) устранила несколько уязвимостей в операционной системе Aruba Networking AOS-CX, включая проблемы с аутентификацией и выполнением кода.
AOS-CX — это облачная сетевая операционная система (NOS), разработанная дочерней компанией HPE Aruba Networks для коммутаторов кампусных сетей и центров обработки данных серии CX.
Самый серьезный на сегодняшний день дефект безопасности — критическая уязвимость обхода аутентификации (отслеживаемая как CVE-2026-23813), которую злоумышленники без привилегий могут использовать в атаках низкой сложности для сброса паролей администратора.
“В веб-интерфейсе управления коммутаторов AOS-CX обнаружена уязвимость, которая потенциально может позволить удаленному неаутентифицированному субъекту обойти существующие механизмы контроля аутентификации. В некоторых случаях это может привести к сбросу пароля администратора”, — заявили в HPE.
“По состоянию на дату выпуска консультативного уведомления HPE Aruba Networking не располагает сведениями о публичном обсуждении или коде эксплойта, нацеленном на эти конкретные уязвимости”.
ИТ-администраторы, которые не могут немедленно применить сегодняшние обновления безопасности для устранения уязвимостей в коммутаторах, могут принять одну из следующих мер по смягчению последствий:
- Ограничить доступ ко всем интерфейсам управления выделенным сегментом Уровня 2 или VLAN для изоляции трафика управления.
- Внедрить строгие политики на Уровне 3 и выше для контроля доступа к интерфейсам управления, разрешая доступ только авторизованным и доверенным хостам.
- Отключить интерфейсы HTTP(S) на коммутируемых виртуальных интерфейсах (SVI) и маршрутизируемых портах там, где доступ для управления не требуется.
- Применить списки контроля доступа плоскости управления (Control Plane ACL) для защиты любых интерфейсов управления с поддержкой REST/HTTP, гарантируя, что только доверенные клиенты могут подключаться к конечным точкам HTTPS/REST.
- Включить всесторонний учет, ведение журналов и мониторинг всех действий интерфейсов управления для обнаружения попыток несанкционированного доступа и реагирования на них.
HPE пока не обнаружила общедоступного кода эксплойта с доказательством концепции или свидетельств того, что злоумышленники используют эти уязвимости в реальных атаках.
В июле 2025 года компания также предупреждала о жестко закодированных учетных данных в точках доступа Aruba Instant On, которые могли позволить злоумышленникам обойти стандартную аутентификацию устройства.
Месяцем ранее HPE устранила восемь уязвимостей в своем решении для резервного копирования и дедупликации на дисках StoreOnce, включая еще один обход аутентификации критической степени серьезности и три уязвимости удаленного выполнения кода.
Совсем недавно, в январе, Агентство по кибербезопасности и защите инфраструктуры США (CISA) пометило уязвимость HPE OneView максимальной степени серьезности как активно используемую в атаках.
HPE насчитывает более 61 000 сотрудников по всему миру, сообщила о выручке в размере 30,1 млрд долларов в 2024 году и предоставляет услуги и продукты более чем 55 000 корпоративным клиентам по всему миру, включая 90% компаний из списка Fortune 500.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
