Hewlett Packard Enterprise (HPE) Aruba ağında kritik bir güvenlik açığı, erişim noktalarında anında, saldırganların cihaz kimlik doğrulama mekanizmalarını tamamen atlamasına izin verebilir.
CVE-2025-37103 olarak izlenen güvenlik açığı, cihazların yazılımına gömülü sabit kodlanmış giriş bilgilerinden kaynaklanmakta ve maksimum CVSS puanı 9.8 ile ciddi bir güvenlik riski sunmaktadır.
Key Takeaways
1. HPE Aruba Access Points have hardcoded credentials allowing authentication bypass.
2. Instant On Access Points firmware 3.2.0.1 and below are affected.
3. Update to firmware 3.2.1.0+ via automatic or manual upgrade.
Bu kusur, HPE Networking anında, 3.2.0.1 ve altındaki yazılım sürümünü çalıştıran erişim noktalarında anında etkiler ve potansiyel olarak sayısız işletme ağını yetkisiz idari erişim için açığa çıkarır.
Sabit kodlanmış kimlik bilgilerine genel bakış Güvenlik açığı
Sabit kodlanmış kimlik bilgileri güvenlik açığı, Ubisectech Sirius ekibinin araştırmacısı “ZZ” tarafından HPE Aruba Networking’in Hata Bounty programı aracılığıyla keşfedildi.
Bu kimlik bilgisi pozlama, ürün yazılımının kimlik doğrulama modülüne varsayılan bir kullanıcı adı ve şifre etkin bir şekilde telaffuz eder.
Bir saldırgan, cihazın web arayüzüne gömülü bu kimlik bilgilerini sağladığında, rutin giriş prosedürlerini ek ayrıcalıklar veya etkileşim olmadan atlayabilir.
Danışma, sorunun 3.2.0.1’e kadar ve dahil olmak üzere ürün yazılımı sürümlerinde çalışan erişim noktalarında Aruba Networking anında özel olduğunu açıklamaktadır; Anında anahtarlar etkilenmez.
CVE-2025-37103’ün sömürülmesi Yönetimsel erişim sağlar, sistem yapılandırmalarını, ağ trafiğini ve cihaz yönetimi arayüzlerini potansiyel kurcalama veya yük enjeksiyonuna maruz bırakır.
CVE-2025-37103’ün merkezinde, Web arabirimi kimlik bilgilerini doğrulamaktan sorumlu erişim noktası belleniminde bir işlev yatır. Aşağıdaki sahte kod, kusurlu mantığı göstermektedir:
Bu senaryoda, “admin” ve “varsayılan123” statik kimlik bilgilerinin farkında olan herhangi bir uzak aktör, HTTPS veya HTTP üzerinden kimlik doğrulama () çağırabilir ve multifaktör veya ek güvenlik kontrollerini tetiklemeden ayrıcalıklı oturum belirteçleri kazanabilir.
HPE, danışmanlığın 8 Temmuz 2025 tarihinden itibaren bu kusuru hedefleyen hiçbir kamu istismarı rapor ediyor, ancak düşük teknik engeller göz önüne alındığında kavram kanıtı kodunun hızla ortaya çıkabileceği konusunda uyarıyor.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | HPE Networking Anında Erişim noktalarında Yazılım Çalışan Sürüm 3.2.0.1 ve Alt |
| Darbe | Uzaktan Erişim Kısıtlama Bypass, Rasgele Kod Yürütme, Yönetim Sistem Erişimi |
| Önkoşuldan istismar | Sabit kodlanmış kimlik bilgileri bilgisi, cihaz web arayüzüne ağ erişimi |
| CVSS 3.1 puanı | 9.8 (kritik) |
Hafifletme
HPE’nin resmi kararı, erişim noktalarından etkilenen tüm anında yükseltmek zorunludur.
GÜNCELLEME Sabit kodlanmış kimlik bilgisi dalını Authenticate () rutinden kaldırır ve en iyi uygulamalarla uyumlu sağlam kimlik bilgisi yönetim politikalarını uygular.
30 Haziran ile 17 Temmuz 2025 arasında otomatik güncellemeleri etkinleştiren müşterilerin ek adımlar atması gerekmez; Aksi takdirde, mobil uygulama veya web portalı anında manuel müdahale yamayı dağıtacaktır.
Geçici geçici çözümler yoktur, bu nedenle ağ yöneticilerine ürün yazılımı yükseltmelerine öncelik vermeleri istenir. Önlem olarak, kuruluşlar şüpheli web arayüz girişleri ve yönetim trafiğini güvenilir idari VLAN’lara segment segmenti için denetlemelidir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi