Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Hewlett Packard Enterprise opublikował poprawki dla wielu podatności w systemie Aruba AOS-CX, wykorzystywanym w przełącznikach sieciowych Aruba CX. Najpoważniejsza z nich dotyczy mechanizmu uwierzytelniania w interfejsie zarządzania i może umożliwić zdalnemu, nieuwierzytelnionemu atakującemu obejście kontroli dostępu oraz reset hasła administratora. To szczególnie istotna klasa błędów, ponieważ uderza bezpośrednio w płaszczyznę zarządzania urządzeniami sieciowymi.
W skrócie
HPE usunął kilka luk bezpieczeństwa w Aruba AOS-CX, w tym krytyczną podatność CVE-2026-23813 o ocenie CVSS 9.8. Problem dotyczy webowego interfejsu zarządzania i może prowadzić do obejścia uwierzytelniania oraz resetu hasła administracyjnego. Producent załatał również trzy błędy typu command injection oraz jedną lukę open redirect. Na moment publikacji informacji firma nie wskazywała dowodów na aktywne wykorzystanie tych podatności w środowiskach produkcyjnych.
Kontekst / historia
Aruba AOS-CX to system operacyjny stosowany w nowoczesnych przełącznikach warstwy dostępowej, dystrybucyjnej i rdzeniowej, często wdrażanych w sieciach korporacyjnych, kampusowych i środowiskach data center. Oznacza to, że każda podatność wpływająca na mechanizmy zarządzania może mieć znaczenie wykraczające poza pojedyncze urządzenie i przekładać się na bezpieczeństwo całego segmentu infrastruktury.
Opisana poprawka wpisuje się w szerszy trend rosnącej presji na bezpieczeństwo warstwy administracyjnej urządzeń sieciowych. W ostatnich latach interfejsy webowe, API zarządzające oraz komponenty CLI wielokrotnie stawały się celem analiz badaczy i zespołów odpowiedzialnych za bezpieczeństwo. Dla organizacji oznacza to konieczność traktowania przełączników i kontrolerów sieciowych nie tylko jako elementów transmisyjnych, ale również jako pełnoprawnych systemów wymagających regularnego patch managementu, monitorowania i segmentacji dostępu.
Analiza techniczna
Najgroźniejsza podatność, CVE-2026-23813, dotyczy webowego interfejsu zarządzania AOS-CX. Z opisu producenta wynika, że błąd może pozwalać na obejście istniejących mechanizmów uwierzytelniania przez zdalnego, nieuwierzytelnionego aktora. W praktyce taki scenariusz jest szczególnie niebezpieczny, ponieważ nie wymaga wcześniejszego przejęcia konta użytkownika ani uzyskania dostępu uprzywilejowanego. W niektórych przypadkach możliwy jest reset hasła administratora, co otwiera drogę do pełnego przejęcia funkcji zarządzania urządzeniem.
Oprócz błędu obejścia uwierzytelniania HPE zaadresował także kilka podatności związanych z wstrzykiwaniem poleceń. CVE-2026-23814, oceniona na 8.8 w skali CVSS, dotyczy uwierzytelnionego command injection w poleceniu CLI i może umożliwiać atakującemu o niskich uprawnieniach zdalne wstrzyknięcie złośliwych parametrów, a w konsekwencji wykonanie dowolnego kodu. Dwie kolejne luki, CVE-2026-23815 oraz CVE-2026-23816, również dotyczą command injection w komponentach CLI i pozwalają na wykonanie nieautoryzowanych komend systemowych w warstwie bazowego systemu operacyjnego.
Producent usunął też CVE-2026-23817, czyli nieuwierzytelniony open redirect w interfejsie webowym. Tego typu błąd zwykle nie prowadzi samodzielnie do przejęcia urządzenia, ale może zostać wykorzystany pomocniczo w kampaniach phishingowych lub jako element łańcucha ataku wymierzonego w administratorów infrastruktury.
Z perspektywy technicznej istotne jest, że zestaw podatności obejmuje kilka różnych powierzchni ataku:
- interfejs webowy zarządzania,
- mechanizmy REST i HTTPS,
- ścieżki związane z CLI.
Taka kombinacja wskazuje, że atakujący mógłby próbować wykorzystać zarówno ekspozycję usług zarządzania do sieci, jak i już uzyskany dostęp o ograniczonych uprawnieniach do dalszej eskalacji wpływu na urządzenie.
Konsekwencje / ryzyko
Ryzyko dla organizacji zależy przede wszystkim od tego, czy interfejsy zarządzania Aruba AOS-CX są osiągalne z sieci użytkowej, stref o obniżonym zaufaniu lub bezpośrednio z internetu. W najgorszym scenariuszu skuteczne wykorzystanie CVE-2026-23813 może doprowadzić do przejęcia kontroli administracyjnej nad przełącznikiem. To z kolei umożliwia zmianę konfiguracji, manipulację ruchem, modyfikację polityk dostępu, wyłączenie zabezpieczeń lub przygotowanie gruntu pod dalszy ruch boczny w środowisku.
Podatności typu command injection zwiększają skalę problemu, ponieważ po uzyskaniu odpowiedniego poziomu dostępu mogą pozwolić na wykonanie komend systemowych, a nie tylko zmian konfiguracyjnych w ramach samego urządzenia. W praktyce przekłada się to na ryzyko trwałej kompromitacji platformy zarządzającej, ukrywania aktywności oraz utrudnienia analizy śledczej.
Dodatkowym zagrożeniem jest fakt, że urządzenia sieciowe często są postrzegane jako mniej dynamiczne niż serwery czy stacje robocze i bywają aktualizowane rzadziej. W efekcie okno podatności może być dłuższe, a skutki przejęcia bardziej rozległe, zwłaszcza w środowiskach o dużej koncentracji ruchu i centralnym modelu zarządzania.
Rekomendacje
Priorytetem powinno być jak najszybsze wdrożenie poprawek bezpieczeństwa dostarczonych przez HPE dla wszystkich podatnych wersji Aruba AOS-CX. Organizacje powinny równolegle przeprowadzić inwentaryzację urządzeń Aruba CX, potwierdzić wersje oprogramowania i ustalić, które systemy posiadają aktywny webowy interfejs zarządzania.
Dobrą praktyką jest całkowita izolacja płaszczyzny zarządzania w dedykowanym VLAN-ie lub odrębnej sieci administracyjnej z dostępem wyłącznie z zaufanych hostów. Dostęp do usług HTTP, HTTPS i interfejsów REST należy ograniczyć przy pomocy list ACL, zapór sieciowych oraz zasad routingu. Jeżeli dane interfejsy nie są operacyjnie wymagane, warto je wyłączyć.
Z perspektywy detekcji należy włączyć i centralizować logowanie zdarzeń administracyjnych, w tym prób logowania, resetów haseł, zmian konfiguracji oraz nietypowych operacji wykonywanych przez konta o niskich uprawnieniach. Zespoły SOC powinny zwrócić uwagę na anomalie związane z dostępem do paneli zarządzania przełącznikami, zwłaszcza spoza standardowych stacji administracyjnych.
Warto również wdrożyć następujące działania:
- przeprowadzić przegląd uprawnień kont lokalnych i zintegrowanych,
- stosować zasadę najmniejszych uprawnień,
- objąć urządzenia sieciowe tym samym procesem hardeningu i patch managementu co pozostałe krytyczne systemy,
- regularnie testować ekspozycję interfejsów zarządzania,
- weryfikować skuteczność segmentacji sieciowej w audytach bezpieczeństwa.
Podsumowanie
Pakiet poprawek HPE dla Aruba AOS-CX usuwa krytyczną lukę umożliwiającą obejście uwierzytelniania i reset hasła administratora, a także kilka dodatkowych podatności mogących prowadzić do wykonania komend systemowych. Dla zespołów bezpieczeństwa to kolejny sygnał, że przełączniki i inne urządzenia sieciowe muszą być traktowane jak aktywa wysokiego ryzyka, szczególnie gdy udostępniają rozbudowane interfejsy zarządzania. Kluczowe działania obejmują szybkie aktualizacje, izolację management plane, ograniczenie ekspozycji usług administracyjnych oraz wzmożony monitoring zdarzeń związanych z dostępem do urządzeń.
Źródła
- Security Affairs — https://securityaffairs.com/189278/security/hewlett-packard-enterprise-fixes-critical-authentication-bypass-in-aruba-aos-cx.html
- HPE Security Bulletin hpesbnw05027en_us — https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw05027en_us&docLocale=en_US
- HPE Security Bulletin hpesbnw04894en_us — https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04894en_us&docLocale=en_US