HPE поправя критични уязвимости в Aruba Networking AOS-CX

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Критичен проблем с автентикацията в AOS-CX

Hewlett Packard Enterprise (HPE) публикува пачове за Aruba Networking AOS-CX операционна система, която се използва в CX-серията campus и data center switch устройства. Сред засегнатите уязвимости има няколко, свързани с автентикация и изпълнение на код, като най-сериозната е критична уязвимост за заобикаляне на автентикация (CVE-2026-23813).

Тя позволява на неавторизирани нападатели да изпълнят нискокомплексни атаки, чрез които могат да рестартират администраторски пароли.

„Уязвимостта в уеб-базираната администрация на AOS-CX превключватели може да позволи на отдалечен неавтентикиран потребител да заобиколи съществуващи контролни механизми за автентикация. В някои случаи това може да позволи рестартиране на администраторската парола,“ обяснява HPE.

Компанията допълва, че към момента няма публично обсъждане или код за експлойт, насочен към тези конкретни уязвимости.

Препоръчителни мерки за администратори

За IT администратори, които не могат веднага да приложат пачовете, HPE препоръчва:

  • Ограничаване на достъпа до всички управленски интерфейси чрез отделен Layer 2 сегмент или VLAN.

  • Прилагане на строги политики Layer 3+, позволяващи достъп до управлението само от доверени хостове.

  • Деактивиране на HTTP(S) интерфейси на Switched Virtual Interfaces (SVI) и маршрутизирани портове, където управлението не е необходимо.

  • Прилагане на ACL (Access Control Lists) за контрол на REST/HTTP интерфейсите, позволявайки връзка само на доверени клиенти.

  • Подробен мониторинг, логване и отчитане на всички дейности по управленските интерфейси, за да се откриват и реагират неоторизирани опити за достъп.

Предишни проблеми

  • Юли 2025: HPE предупреждава за hardcoded credentials в Aruba Instant On Access Points, позволяващи заобикаляне на стандартната автентикация.

  • Юни 2025: Пачове за StoreOnce backup и deduplication solution, включително критичен bypass на автентикация и три уязвимости за отдалечено изпълнение на код.

  • Януари 2026: CISA сигнализира за HPE OneView уязвимост с максимална степен, използвана в реални атаки.

HPE обслужва над 55,000 корпоративни клиенти, включително 90% от Fortune 500 компаниите, и е една от водещите компании в сектора на корпоративни ИТ решения.

#authentication bypass, # CVE-2026-23813, # HPE Aruba AOS-CX, # критична уязвимост, # мрежови switch сигурност
e-security.bg

Подобни

Windows 10: юнската ESU актуализация носи корекции по сигурността и Secure Boot
10.06.2026
windows-10-1535765_1280
Microsoft пусна KB5094126 и KB5093998 за Windows 11
10.06.2026
Windows_11_blur
Google отстрани пета активно експлоатирана zero-day уязвимост в Chrome за 2026 г.
9.06.2026
chrome
Критична zero-day уязвимост в Gogs излага частни репозитории
9.06.2026
cybersecurity2
Верига от три уязвимости позволява пълен контрол над Ubiquiti UniFi OS
9.06.2026
ai-generated-9296016_640
Критична уязвимост в Check Point VPN е използвана
9.06.2026
checkpoint-logo-transparan-1024x969

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy