13 марта 2026, 12:57
HPE устранила уязвимости в операционной системе Aruba Networking AOS-CX
Hewlett Packard Enterprise устранила ряд уязвимостей безопасности в операционной системе Aruba Networking AOS-CX, в том числе некоторое количество проблем с аутентификацией и выполнением кода.
AOS-CX — это облачная сетевая операционная система (NOS), разработанная дочерней компанией HPE Aruba Networks для коммутаторов серии CX. Они предназначены для кампусных сетей и центров обработки данных.
Наиболее серьёзной сегодня является критическая уязвимость обхода аутентификации (отслеживаемая как CVE-2026-23813), которую злоумышленники без привилегий могут применять в простых атаках для сброса паролей администратора.
«В веб-интерфейсе управления коммутаторами AOS-CX обнаружена уязвимость, которая потенциально может позволить неаутентифицированному удалённому злоумышленнику обойти существующие средства аутентификации. В некоторых случаях это может позволить сбросить пароль администратора. Компания HPE Aruba Networking не располагает информацией о каких-либо публичных обсуждениях или эксплойт-коде, нацеленном на эти конкретные уязвимости, на момент публикации данного уведомления», — заявили в HPE.
IT-администраторы, которые не могут немедленно установить обновления безопасности, могут предпринять одну из следующих мер по смягчению последствий:
ограничить доступ ко всем интерфейсам управления выделенным сегментом уровня 2 или VLAN для изоляции трафика управления;
внедрить строгие политики на уровне 3 и выше для контроля доступа к интерфейсам управления, разрешая доступ только авторизованным и доверенным хостам;
выключить интерфейсы HTTP(S) на коммутируемых виртуальных интерфейсах (SVI) и маршрутизируемых портах там, где доступ к управлению не требуется;
применить списки контроля доступа плоскости управления (ACL) для защиты любых интерфейсов управления с поддержкой REST/HTTP, гарантируя, что только доверенные клиенты могут подключаться к конечным точкам HTTPS/REST;
включить комплексный учёт, журналирование и мониторинг всех действий на интерфейсах управления для обнаружения и реагирования на попытки несанкционированного доступа.
HPE пока не обнаружила общедоступного кода эксплойта, демонстрирующего принципиальную функция использования уязвимостей, или доказательств их применения в реальных условиях.
В июле 2025 года компания предупредила о наличии жёстко закодированных учётных данных в точках доступа Aruba Instant On, которые могут позволить злоумышленникам обойти стандартную аутентификацию устройства.
До этого HPE устранила восемь уязвимостей в своём решении для резервного копирования и дедупликации данных на дисках StoreOnce, включая одну, связанную с обходом аутентификации, и три, связанные с удалённым выполнением кода.
В январе Агентство по кибербезопасности и защите инфраструктуры США (CISA) выявило уязвимость HPE OneView максимальной степени опасности, которая, как предполагается, используется в атаках.
Читают сейчас

17 минут назад
В Китае для проверки состояния высоковольтных линий электропередачи стартовали применять робота в виде змеи
На юго-западе Китая начали использовать робота в виде змеи для осмотра высоковольтных линий электропередач и обеспечения стабильного электроснабжения во время национальных вступительных экзаменов в ву

1 час назад
В OpenIDE появилась сопровождение PHP
В OpenIDE добавили бета-версию PHP-плагина для OpenIDE. Автодополнение, навигация, отладка, сопровождение Laravel, Symfony и других фреймворков, внешние анализаторы: всё это уже работает в OpenIDE. Чи

1 час назад
Deezer запустил механизм обнаружения сгенерированной музыки для других стриминговых сервисов
Сервис Deezer запустил механизм обнаружения сгенерированной искусственным интеллектом музыки для других стриминговых платформ. Система будет сканировать плейлисты пользователей в 19 сервиса, в том чис

2 часа назад
Встраивание PVS-Studio в SourceCraft
Мы проверили техническую совместимость PVS-Studio с этой платформой и описали процедура её использования в нашей документации. Теперь все находки анализатора можно обрабатывать в интерфейсе SourceCraf

2 часа назад
Claude Fable 5 взломали за 72 часа, системный промпт — в открытом репозитории
История уложилась в некоторое количество дней и бьёт сразу по двум болевым точкам: насколько реально «непробиваемы» защитные классификаторы фронтир-моделей и что вендор может делать с моделью без ведо