HPE устранила уязвимости в операционной системе Aruba Networking AOS-CX

Hewlett Packard Enterprise устранила ряд уязвимостей безопасности в операционной системе Aruba Networking AOS-CX, включая несколько проблем с аутентификацией и выполнением кода.

AOS-CX — это облачная сетевая операционная система (NOS), разработанная дочерней компанией HPE Aruba Networks для коммутаторов серии CX. Они предназначены для кампусных сетей и центров обработки данных.

Наиболее серьёзной на сегодняшний день является критическая уязвимость обхода аутентификации (отслеживаемая как CVE-2026-23813), которую злоумышленники без привилегий могут использовать в простых атаках для сброса паролей администратора.

«В веб-интерфейсе управления коммутаторами AOS-CX обнаружена уязвимость, которая потенциально может позволить неаутентифицированному удалённому злоумышленнику обойти существующие средства аутентификации. В некоторых случаях это может позволить сбросить пароль администратора. Компания HPE Aruba Networking не располагает информацией о каких-либо публичных обсуждениях или эксплойт-коде, нацеленном на эти конкретные уязвимости, на момент публикации данного уведомления», — заявили в HPE.

IT-администраторы, которые не могут немедленно установить обновления безопасности, могут предпринять одну из следующих мер по смягчению последствий:

ограничить доступ ко всем интерфейсам управления выделенным сегментом уровня 2 или VLAN для изоляции трафика управления;

внедрить строгие политики на уровне 3 и выше для контроля доступа к интерфейсам управления, разрешая доступ только авторизованным и доверенным хостам;

отключить интерфейсы HTTP(S) на коммутируемых виртуальных интерфейсах (SVI) и маршрутизируемых портах там, где доступ к управлению не требуется;

применить списки контроля доступа плоскости управления (ACL) для защиты любых