- HPEがAruba AOS-CXの5つの脆弱性にパッチを適用
- 致命的な脆弱性(CVE-2026-23813)により管理者パスワードのリセットが可能
- 企業が修正が適用されるまでの対策を促促
Hewlett Packard Enterprise(HPE)は、その製品で5つの脆弱性を発見した後、顧客に警告を発しました。その中には、サイバー犯罪者が特定のエンドポイントを乗っ取るために使用できるものが含まれています。
新しく公開されたセキュリティアドバイザリで、HPEは低い複雑性の攻撃で認証されていない攻撃者が管理者パスワードをリセットするために使用できる重大な認証回避脆弱性に対処したと述べました。このバグはCVE-2026-23813として追跡されており、重大度スコアは9.1/10(致命的)です。
HPEのCXシリーズキャンパスおよびデータセンタースイッチハードウェア用に構築されたクラウドネイティブネットワークOSであるAruba Networking AOS-CXオペレーティングシステムに影響します。
記事は下に続きます
パッチと回避策
「AOS-CXスイッチのWebベースの管理インターフェースで脆弱性が識別されました。この脆弱性により、認証されていないリモートアクターが既存の認証制御を回避する可能性があります」とHPEはアドバイザリで述べました。「場合によっては、これにより管理者パスワードのリセットが可能になる可能性があります。」
他の4つの脆弱性はCVE-2026-23814、CVE-2026-23815、CVE-2026-23816、およびCVE-2026-23817として追跡されており、AOS-CX 10.17.xxxx: 10.17.0001以下、AOS-CX 10.16.xxxx: 10.16.1020以下、AOS-CX 10.13.xxxx: 10.13.1160以下、およびAOS-CX 10.10.xxxx: 10.10.1170以下に影響するようです。
良いニュースは、現在のところ、野生での悪用の報告がないことです。
すぐに修正を適用できない場合、HPEは考えられる対策のリストも共有しました:
すべての管理インターフェースへのアクセスを専用のレイヤー2セグメントまたはVLANに制限して、管理トラフィックを一般的なネットワークトラフィックから分離します。
レイヤー3以上で厳密なポリシーを実装して、管理インターフェースへのアクセスを制御し、許可されたおよび信頼できるホストのみを許可します。
管理アクセスが不要な場所では、Switched Virtual Interfaces(SVI)およびルーティングされたポート上のHTTP(S)インターフェースを無効にします。
Control Plane Access Control Lists(ACL)を適用して、REST/HTTP対応の管理インターフェースを保護し、信頼できるクライアントのみがHTTPS/RESTエンドポイントに接続できるようにします。
すべての管理インターフェースアクティビティの包括的なアカウンティング、ログ、監視を有効にして、不正なアクセス試行を迅速に検出および対応します。
もちろん、TikTokでTechRadarをフォローして、ビデオ形式のニュース、レビュー、アンボックスを見ることもできます。また、WhatsAppでも定期的に更新を受け取ることができます。
