Hewlett-Packard Enterprise оголосила про виявлення двох критичних вразливостей безпеки у популярних бездротових точках доступу Aruba Instant On. Ці серйозні недоліки становлять значну загрозу для корпоративних мереж малого та середнього бізнесу в усьому світі, вимагаючи негайних заходів з боку адміністраторів мереж.
Аналіз критичної вразливості CVE-2025-37103
Найбільш небезпечна з виявлених проблем отримала ідентифікатор CVE-2025-37103 та найвищий рейтинг критичності 9,8 балів за шкалою CVSS. Основна проблема полягає у наявності жорстко закодованих облікових даних у прошивці пристроїв, що дозволяє зловмисникам повністю обходити стандартні механізми автентифікації.
Ця вразливість впливає на всі точки доступу Aruba Instant On з прошивкою версії 3.2.0.1 та більш ранніми версіями. Варто зазначити, що комутатори лінійки Instant On не підлягають цій загрозі.
Механізм експлуатації та потенційні ризики
Кіберзлочинці, які володіють інформацією про жорстко закодовані облікові дані, можуть отримати повний адміністративний доступ до веб-інтерфейсу пристрою без знання легітимних паролів. Це відкриває широкі можливості для компрометації мережевої інфраструктури організації.
Отримавши адміністративні привілеї, зловмисники можуть реалізувати різноманітні деструктивні сценарії: повну переналаштування параметрів безпеки, встановлення прихованих бекдорів для довготривалого присутності в системі та організацію прихованого моніторингу мережевого трафіку.
Додаткова загроза: CVE-2025-37102
Окрім основної проблеми, фахівці HPE виявили другу критичну вразливість – CVE-2025-37102. Ця проблема пов’язана з можливістю ін’єкції команд через інтерфейс командного рядка пристрою.
Особливу небезпеку становить можливість комбінування обох вразливостей. Атакуючі можуть використовувати CVE-2025-37103 для отримання адміністративного доступу, а потім експлуатувати CVE-2025-37102 для впровадження довільних команд та закріплення в скомпрометованій системі.
Стратегія усунення загроз
Інженери HPE категорично рекомендують власникам уразливих пристроїв негайно оновити прошивку до версії 3.2.1.0 або пізнішої. В оновленій прошивці обидві критичні вразливості повністю усунені.
Компанія підкреслює, що альтернативні методи захисту або тимчасові обхідні рішення для цих вразливостей не існують. Єдиним ефективним способом захисту є встановлення виправленої версії прошивки.
Практичні рекомендації для адміністраторів
Адміністраторам мереж рекомендується провести повний аудит усіх розгорнутих точок доступу Aruba Instant On, визначити версії встановленої прошивки та скласти план екстреного оновлення. Особливу увагу слід приділити пристроям, що мають прямий доступ до інтернету або розташовані у публічно доступних зонах.
Виявлення критичних вразливостей у популярних корпоративних пристроях підкреслює важливість регулярного моніторингу безпеки мережевої інфраструктури. Своєчасне застосування оновлень безпеки та постійна оцінка ризиків залишаються ключовими елементами ефективної стратегії кібербезпеки для організацій будь-якого масштабу. Проактивний підхід до управління вразливостями може запобігти серйозним інцидентам та захистити критично важливі бізнес-активи.
