Wprowadzenie do problemu / definicja
Hewlett Packard Enterprise opublikował poprawki dla krytycznej podatności w systemie Aruba Networking AOS-CX, wykorzystywanym w przełącznikach sieciowych klasy kampusowej i data center. Problem dotyczy interfejsu zarządzania przez WWW i może prowadzić do obejścia mechanizmów uwierzytelniania, a następnie do resetu hasła administratora bez wcześniejszego logowania.
Z perspektywy bezpieczeństwa infrastruktury jest to szczególnie groźne, ponieważ płaszczyzna zarządzania urządzeniami sieciowymi należy do najbardziej wrażliwych obszarów środowiska IT. Jej przejęcie może otworzyć drogę do dalszych zmian konfiguracyjnych, manipulacji ruchem i osłabienia kontroli bezpieczeństwa.
W skrócie
Podatność otrzymała oznaczenie CVE-2026-23813 oraz ocenę CVSS 9.8, co klasyfikuje ją jako lukę krytyczną. Umożliwia ona zdalne, nieuwierzytelnione oddziaływanie na webowy interfejs zarządzania AOS-CX.
- Dotyczy wielu rodzin przełączników Aruba CX.
- Może prowadzić do resetu hasła administratora bez logowania.
- Narażone są m.in. serie 4100i, 6000, 6100, 6200, 6300, 6400, 8320, 8325, 8360, 9300 oraz 10000.
- Producent udostępnił poprawki i zalecił ograniczenie dostępu do interfejsów zarządzania.
Kontekst / historia
Urządzenia sieciowe od dawna są traktowane jako elementy infrastruktury o wysokim poziomie zaufania. W praktyce oznacza to, iż skuteczna kompromitacja przełącznika lub routera może dać atakującemu znaczącą przewagę operacyjną, w tym możliwość wpływu na segmentację, ścieżki komunikacyjne oraz mechanizmy kontroli dostępu.
W ostatnich latach rośnie zainteresowanie cyberprzestępców i grup zaawansowanych podatnościami w warstwie sieciowej. Ataki na urządzenia infrastrukturalne są atrakcyjne, ponieważ pozwalają ominąć część zabezpieczeń wdrażanych na stacjach roboczych i serwerach. Omawiana luka wpisuje się w ten trend, ponieważ dotyczy bezpośrednio interfejsu administracyjnego.
Równolegle z CVE-2026-23813 producent zaadresował również inne problemy bezpieczeństwa, w tym podatności wysokiego ryzyka związane z możliwością wstrzyknięcia i wykonania złośliwych poleceń przez uwierzytelnionego zdalnego napastnika, a także lukę średniego ryzyka pozwalającą na przekierowanie użytkownika do dowolnego adresu.
Analiza techniczna
Z opublikowanych informacji wynika, iż źródłem problemu jest webowy interfejs zarządzania systemu AOS-CX. Luka umożliwia wykonanie operacji prowadzącej do resetu hasła administratora bez przejścia przez proces uwierzytelnienia, co w praktyce oznacza obejście podstawowych mechanizmów kontroli dostępu.
Taki scenariusz jest wyjątkowo niebezpieczny, ponieważ atakujący nie musi wcześniej przejąć sesji, zdobyć danych logowania ani wykorzystywać dodatkowego wektora wejścia. Wystarczy osiągalność interfejsu zarządzania z niezaufanego segmentu sieci, aby ryzyko realnego przejęcia urządzenia istotnie wzrosło.
Po przejęciu kontroli nad przełącznikiem możliwe stają się między innymi zmiany konfiguracji, modyfikacja polityk dostępu, ingerencja w segmentację VLAN, wpływ na trasowanie oraz utrudnianie detekcji poprzez zmianę ustawień logowania i monitoringu. W środowiskach zautomatyzowanych zagrożenie może rozszerzyć się także na inne zintegrowane komponenty.
Poprawki zostały udostępnione w wersjach AOS-CX 10.17.1001, 10.16.1030, 10.13.1161 oraz 10.10.1180. Dodatkowo producent zalecił wyłączenie HTTP(S) na interfejsach SVI i portach routowanych tam, gdzie nie jest to konieczne, oraz ograniczenie dostępu do punktów końcowych HTTPS i REST wyłącznie dla zaufanych klientów administracyjnych.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem podatności jest możliwość przejęcia uprzywilejowanego dostępu do przełącznika bez uwierzytelnienia. W środowisku produkcyjnym może to przełożyć się nie tylko na pojedynczy incydent administracyjny, ale również na zaburzenie działania całego segmentu infrastruktury.
- zakłócenie komunikacji sieciowej,
- osłabienie integralności kluczowych usług biznesowych,
- zmianę konfiguracji bezpieczeństwa,
- uzyskanie trwałego punktu obecności w infrastrukturze,
- ułatwienie ruchu bocznego do kolejnych segmentów sieci.
Ryzyko jest szczególnie wysokie tam, gdzie interfejs zarządzania nie został odseparowany od zwykłego ruchu sieciowego, dostęp nie jest ograniczony listami ACL, a organizacja nie prowadzi pełnego monitoringu zmian konfiguracyjnych. choćby bez publicznego potwierdzenia masowego wykorzystania tej luki jej krytyczność uzasadnia natychmiastową reakcję.
Rekomendacje
Organizacje korzystające z przełączników HPE Aruba CX powinny w pierwszej kolejności zinwentaryzować wszystkie podatne urządzenia i zweryfikować używane wersje AOS-CX. Następnie należy jak najszybciej wdrożyć poprawione wydania systemu.
- ograniczyć dostęp do interfejsów zarządzania wyłącznie do wydzielonych sieci administracyjnych,
- wymusić filtrowanie ruchu do HTTPS i REST przy użyciu list ACL,
- wyłączyć HTTP(S) na SVI i portach routowanych, jeżeli nie są niezbędne,
- przejrzeć logi pod kątem nietypowych operacji administracyjnych i zmian haseł,
- zweryfikować integralność konfiguracji urządzeń po aktualizacji,
- rozdzielić płaszczyznę zarządzania od ruchu użytkowników i usług produkcyjnych,
- włączyć szczegółowe accounting, logging i monitoring działań administracyjnych,
- przeprowadzić rotację poświadczeń uprzywilejowanych, jeżeli istnieje podejrzenie ekspozycji.
Zespoły SOC i NOC powinny dodatkowo przygotować reguły wykrywania dla anomalii związanych z resetami kont administracyjnych, zmianami konfiguracji HTTPS i REST oraz nagłymi modyfikacjami polityk dostępu na przełącznikach.
Podsumowanie
CVE-2026-23813 to krytyczna podatność w HPE Aruba AOS-CX, która podkreśla znaczenie ochrony warstwy zarządzania urządzeniami sieciowymi. Możliwość zdalnego i nieuwierzytelnionego resetu hasła administratora tworzy scenariusz bezpośredniego przejęcia przełącznika, a w konsekwencji realne zagrożenie dla całej infrastruktury.
Kluczowe działania obejmują szybkie wdrożenie poprawek, ograniczenie ekspozycji interfejsów administracyjnych oraz wzmocnienie monitoringu i kontroli dostępu. Dla organizacji utrzymujących rozbudowane środowiska sieciowe jest to incydent, który powinien zostać potraktowany jako wysoki priorytet operacyjny.