Η Hewlett Packard Enterprise (HPE) έχει διορθώσει πολλαπλές ευπάθειες ασφαλείας στο λειτουργικό σύστημα Aruba Networking AOS-CX, συμπεριλαμβανομένων πολλών ζητημάτων ελέγχου ταυτότητας και εκτέλεσης κώδικα.
Το AOS-CX είναι ένα εγγενές λειτουργικό σύστημα δικτύου (NOS) που αναπτύχθηκε από τη θυγατρική της HPE Aruba Networks για τις συσκευές μεταγωγής της πανεπιστημιούπολης και των κέντρων δεδομένων της σειράς CX της εταιρείας.
Το πιο σοβαρό ελάττωμα ασφαλείας σήμερα είναι μια ευπάθεια παράκαμψης κρίσιμου ελέγχου ταυτότητας (παρακολουθείται ως CVE-2026-23813) που οι εισβολείς χωρίς προνόμια μπορούν να εκμεταλλευτούν σε επιθέσεις χαμηλής πολυπλοκότητας για να επαναφέρουν τους κωδικούς πρόσβασης διαχειριστή.
“Έχει εντοπιστεί μια ευπάθεια στη διεπαφή διαχείρισης που βασίζεται στον ιστό των διακοπτών AOS-CX που θα μπορούσε ενδεχομένως να επιτρέψει σε έναν μη επαληθευμένο απομακρυσμένο παράγοντα να παρακάμψει τα υπάρχοντα στοιχεία ελέγχου ταυτότητας. Σε ορισμένες περιπτώσεις αυτό θα μπορούσε να επιτρέψει την επαναφορά του κωδικού πρόσβασης διαχειριστή”, δήλωσε η HPE.
“Η HPE Aruba Networking δεν γνωρίζει καμία δημόσια συζήτηση ή κώδικα εκμετάλλευσης που στοχεύει αυτές τις συγκεκριμένες ευπάθειες από την ημερομηνία κυκλοφορίας της συμβουλευτικής.”
Οι διαχειριστές IT που δεν μπορούν να εφαρμόσουν αμέσως τις σημερινές ενημερώσεις ασφαλείας για την επιδιόρθωση ευάλωτων διακοπτών μπορούν να λάβουν ένα από τα ακόλουθα μέτρα μετριασμού:
- Περιορίστε την πρόσβαση σε όλες τις διεπαφές διαχείρισης σε ένα αποκλειστικό τμήμα επιπέδου 2 ή VLAN για να απομονώσετε την κίνηση διαχείρισης.
- Εφαρμόστε αυστηρές πολιτικές στο Επίπεδο 3 και άνω για τον έλεγχο της πρόσβασης στις διεπαφές διαχείρισης, επιτρέποντας μόνο εξουσιοδοτημένους και αξιόπιστους κεντρικούς υπολογιστές.
- Απενεργοποιήστε τις διεπαφές HTTP(S) σε εναλλασσόμενες εικονικές διεπαφές (SVI) και δρομολογημένες θύρες όπου δεν απαιτείται πρόσβαση διαχείρισης.
- Επιβολή λιστών ελέγχου πρόσβασης επιπέδου ελέγχου (ACL) για την προστασία οποιωνδήποτε διεπαφών διαχείρισης με δυνατότητα REST/HTTP, διασφαλίζοντας ότι επιτρέπεται μόνο σε αξιόπιστους πελάτες να συνδέονται στα τελικά σημεία HTTPS/REST.
- Ενεργοποιήστε την πλήρη λογιστική, καταγραφή και παρακολούθηση όλων των δραστηριοτήτων διεπαφής διαχείρισης για τον εντοπισμό και την απόκριση σε απόπειρες μη εξουσιοδοτημένης πρόσβασης.
Η HPE δεν έχει βρει ακόμη δημόσια διαθέσιμο κώδικα εκμετάλλευσης απόδειξης ιδέας ή αποδεικτικά στοιχεία ότι οι εισβολείς κάνουν κατάχρηση των τρωτών σημείων στη φύση.
Τον Ιούλιο του 2025, η εταιρεία προειδοποίησε επίσης για σκληρά κωδικοποιημένα διαπιστευτήρια στα Aruba Instant On Access Points που θα μπορούσαν να επιτρέψουν στους εισβολείς να παρακάμψουν τον τυπικό έλεγχο ταυτότητας συσκευών.
Ένα μήνα νωρίτερα, η HPE διορθώθηκε οκτώ ευπάθειες στη λύση δημιουργίας αντιγράφων ασφαλείας και αφαίρεσης διπλών αντιγράφων που βασίζεται σε δίσκο StoreOnce, συμπεριλαμβανομένης μιας άλλης παράκαμψης ελέγχου ταυτότητας κρίσιμης σοβαρότητας και τριών ελαττωμάτων απομακρυσμένης εκτέλεσης κώδικα.
Πιο πρόσφατα, τον Ιανουάριο, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) επισήμανε μια ευπάθεια HPE OneView μέγιστης σοβαρότητας ως εκμεταλλευόμενη σε επιθέσεις.
Η HPE έχει πάνω από 61.000 υπαλλήλους παγκοσμίως, έχει αναφέρει έσοδα 30,1 δισεκατομμυρίων δολαρίων το 2024 και παρέχει υπηρεσίες και προϊόντα σε περισσότερους από 55.000 εταιρικούς πελάτες παγκοσμίως, συμπεριλαμβανομένου του 90% των εταιρειών του Fortune 500.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
