HPE, HPE Networking Instant On cihazlarında dahili VLAN yapılandırma verilerini açığa çıkarabilecek ve uzaktaki saldırganların kablosuz ağları kesintiye uğratmasına veya hassas ağ bilgilerine ilişkin yetkisiz bilgiler elde etmesine olanak tanıyabilecek çok sayıda yüksek önem derecesine sahip güvenlik açıkları için güvenlik yamaları yayımladı.
Kusurlar, Anında Açılan erişim noktalarını ve 3.3.1.0 ve sonraki yazılım sürümlerini çalıştıran 1930 anahtarlarını etkiliyor; 3.3.2.0 ve sonraki sürümlerde bir düzeltme mevcut.
HPE’nin HPESBNW04988 güvenlik bültenine göre, CVE-2025-37165 olarak takip edilen en kritik sorun, HPE Networking Instant On erişim noktalarının yönlendirici modu yapılandırmasında mevcuttur ve istenmeyen ağ arayüzlerinde VLAN bilgilerinin açığa çıkmasına neden olur.
Cihaz yönlendirici modunda çalışırken, hazırlanmış trafik, VLAN tanımlayıcıları ve segmentasyon tasarımı gibi dahili ağ yapılandırma ayrıntılarının, normalde bu bilgileri açığa vurmaması gereken paketler aracılığıyla sızdırılmasına neden olabilir.
HPE Aruba Anında Açılan Kusurlar Ağ Ayrıntılarını Açığa Çıkarıyor
Bu güvenlik açığı, kimlik doğrulama veya kullanıcı etkileşimi olmadan ağ üzerinden uzaktan kullanılabilir ve CVSS v3.1 puanı 7,5 ile Yüksek önem derecesine sahiptir; bu, yüksek gizlilik etkisini yansıtır, ancak doğrudan bütünlük veya kullanılabilirlik etkisi yoktur.
HPE, etkilenen arayüzlerdeki trafiği izleyebilen veya bunlara trafik enjekte edebilen kötü niyetli bir aktörün, sızdırılan VLAN ve topoloji verilerini dahili bölümleri haritalandırmak ve ağın hassas bölümlerine yönelik daha fazla yanal hareket veya hedefli saldırılar planlamak için kullanabileceği konusunda uyarıyor.
Mevcut bir geçici çözümü olmayan sorun, Quora.org’dan Daniel J Blueman tarafından keşfedilip bildirildi ve CVSS vektörü CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N altında sınıflandırıldı; bu, düşük karmaşıklığa sahip ve gerekli ayrıcalıklar gerektirmeyen ağ tabanlı istismarı gösterir.
İkinci bir yüksek önem derecesine sahip kusur olan CVE-2025-37166, HPE Networking Instant On erişim noktalarını etkiler ve cihaz özel hazırlanmış bir ağ paketini işlediğinde tetiklenebilir.
Başarılı bir şekilde yararlanma, erişim noktasını yanıt vermeme durumuna itebilir, bazen hizmetleri geri yüklemek için donanımdan sıfırlama gerektirebilir ve bu da bir saldırganın Wi‑Fi altyapısına karşı uzaktan hizmet reddi saldırısı gerçekleştirmesine etkili bir şekilde olanak tanır.
GreyCortex’ten Petr Chelmar tarafından keşfedilen bu sorun aynı zamanda CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H vektörü kullanılarak CVSS v3.1 puanı 7,5 ile Yüksek olarak derecelendirildi ve veri veya bütünlükten ziyade kullanılabilirlik üzerindeki etkisi vurgulandı.
Ayrıca HPE Instant On cihazları, CVE-2023-52340 ve CVE-2022-48839 olarak belgelenen temel işletim sistemi çekirdeğindeki birden fazla paket işleme sorunundan etkilenir.
IPv4 ve IPv6 paket işlemeden kaynaklanan çekirdek düzeyindeki bu hatalar, cihazın normal çalışması sırasında hizmet reddi koşullarına ve bellek bozulmasına yol açabilir ve ayrıca bireysel CVE ve saldırı vektörüne bağlı olarak CVSS puanları 7,5’e kadar yükselerek Yüksek olarak derecelendirilir.
HPE, bu çekirdek güvenlik açıklarının çekirdek geliştiricileri tarafından yukarı yönde çözüldüğünü ve HPE Instant On mühendislik ekibi tarafından entegre edildiğini, ancak yükseltmenin ötesinde belirli bir geçici çözümün mevcut olmadığını belirtiyor.
HPE, yayınlandığı sırada bu güvenlik açıklarından yararlanan herhangi bir kamuya açık yararlanma kodunun veya aktif saldırının farkında olmadığını belirtmektedir.
Müşterilerin, etkilenen Aruba Instant On 1930 Switch Serisini ve Instant On erişim noktalarını, 10 Aralık 2025 haftasında kullanıma sunulan otomatik güncellemeler aracılığıyla ya da Instant On uygulaması veya web portalı aracılığıyla manuel güncellemeler başlatarak yazılım sürümü 3.3.2.0 veya üstüne yükseltmeleri önerilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.