HPE устранила уязвимости в операционной системе Aruba Networking AOS-CX

Hewlett Packard Enterprise устранила ряд уязвимостей безопасности в операционной системе Aruba Networking AOS-CX, в том числе некоторое количество проблем с аутентификацией и выполнением кода.

AOS-CX — это облачная сетевая операционная система (NOS), разработанная дочерней компанией HPE Aruba Networks для коммутаторов серии CX. Они предназначены для кампусных сетей и центров обработки данных.

Наиболее серьёзной сегодня является критическая уязвимость обхода аутентификации (отслеживаемая как CVE-2026-23813), которую злоумышленники без привилегий могут применять в простых атаках для сброса паролей администратора.

«В веб-интерфейсе управления коммутаторами AOS-CX обнаружена уязвимость, которая потенциально может позволить неаутентифицированному удалённому злоумышленнику обойти существующие средства аутентификации. В некоторых случаях это может позволить сбросить пароль администратора. Компания HPE Aruba Networking не располагает информацией о каких-либо публичных обсуждениях или эксплойт-коде, нацеленном на эти конкретные уязвимости, на момент публикации данного уведомления», — заявили в HPE.

IT-администраторы, которые не могут немедленно установить обновления безопасности, могут предпринять одну из следующих мер по смягчению последствий:

• ограничить доступ ко всем интерфейсам управления выделенным сегментом уровня 2 или VLAN для изоляции трафика управления;

• внедрить строгие политики на уровне 3 и выше для контроля доступа к интерфейсам управления, разрешая доступ только авторизованным и доверенным хостам;

• выключить интерфейсы HTTP(S) на коммутируемых виртуальных интерфейсах (SVI) и маршрутизируемых портах там, где доступ к управлению не требуется;

• применить списки контроля доступа плоскости управления (ACL) для защиты любых интерфейсов управления с поддержкой REST/HTTP, гарантируя, что только доверенные клиенты могут подключаться к конечным точкам HTTPS/REST;

• включить комплексный учёт, журналирование и мониторинг всех действий на интерфейсах управления для обнаружения и реагирования на попытки несанкционированного доступа.

HPE пока не обнаружила общедоступного кода эксплойта, демонстрирующего принципиальную функция использования уязвимостей, или доказательств их применения в реальных условиях. 

В июле 2025 года компания предупредила о наличии жёстко закодированных учётных данных в точках доступа Aruba Instant On, которые могут позволить злоумышленникам обойти стандартную аутентификацию устройства.

До этого HPE устранила восемь уязвимостей в своём решении для резервного копирования и дедупликации данных на дисках StoreOnce, включая одну, связанную с обходом аутентификации, и три, связанные с удалённым выполнением кода.

В январе Агентство по кибербезопасности и защите инфраструктуры США (CISA) выявило уязвимость HPE OneView максимальной степени опасности, которая, как предполагается, используется в атаках.