Une belle alerte de sécurité du côté de chez HPE : une faille de sécurité critique a été découverte dans le système d’exploitation AOS-CX d’Aruba Networking. Un attaquant peut prendre le contrôle d’un équipement réseau facilement via l’exploitation de cette vulnérabilité.

Un accès administrateur offert sur un plateau d’argent

Le système d’exploitation AOS-CX est utilisé par les commutateurs des séries CX d’Aruba Networks. Malheureusement, un nouveau bulletin de sécurité publié par HPE met en évidence plusieurs failles de sécurité, dont l’une d’elles mérite une attention particulière : la CVE-2026-23813.

Considérée comme critique, elle permet à un attaquant distant non authentifié de compromettre l’équipement réseau. En effet, cette vulnérabilité permet de réinitialiser le mot de passe administrateur. Elle serait facile à exploiter à partir d’une requête spécialement conçue.

“Une vulnérabilité a été identifiée dans l’interface de gestion Web des commutateurs AOS-CX, qui pourrait permettre à un acteur distant non authentifié de contourner les contrôles d’authentification existants. Dans certains cas, cela pourrait permettre de réinitialiser le mot de passe administrateur.”, précise HPE.

Pour le moment, j’ai bien dit pour le moment, cette faille de sécurité n’est pas exploitée dans la nature. HPE le mentionne bien dans son bulletin de sécurité.

“HPE Aruba Networking n’a pas connaissance de discussions publiques ou de code d’exploitation ciblant ces vulnérabilités spécifiques à la date de publication de l’avis.”

La vulnérabilité étant désormais divulguée, la situation peut rapidement évoluer.

Comment protéger vos commutateurs Aruba ?

La principale recommandation est bien entendu d’appliquer les mises à jour de sécurité fournies par HPE. Cependant, en production, il n’est pas toujours possible de redémarrer ou de patcher des switchs sans planifier une fenêtre de maintenance.

HPE propose un ensemble de mesures d’atténuation permettant de mieux protéger les interfaces de gestion. Ce sont d’ailleurs des recommandations applicables bien au-delà du contexte de protection vis-à-vis de la CVE-2026-23813.

• Isolez le trafic de gestion : restreignez l’accès à toutes les interfaces d’administration en les plaçant sur un segment de niveau 2 dédié ou un VLAN spécifique (VLAN d’administration, par exemple).
• Limitez les adresses IP autorisées : via des règles de filtrage, contrôlez l’accès aux interfaces de gestion. Seuls les hôtes autorisés et de confiance doivent pouvoir s’y connecter.
• Désactivez les services inutiles : coupez les interfaces HTTP / HTTPS sur les interfaces virtuelles commutées (SVI) où l’accès à la gestion n’a pas d’intérêt.
• Surveillez les logs : activez la traçabilité complète (accounting), la journalisation (logging) et la surveillance associée à l’activité des interfaces de gestion pour détecter toute tentative de connexion suspecte. Surveillez aussi la liste des comptes présents sur les équipements.

Si vous êtes en mesure de patcher vos équipements, voici la liste des patchs de sécurité par branche de versions :

• AOS-CX 10.17.xxxx : AOS-CX 10.17.1001 et versions ultérieures
• AOS-CX 10.16.xxxx : AOS-CX 10.16.1030 et versions ultérieures
• AOS-CX 10.13.xxxx : AOS-CX 10.13.1161 et versions ultérieures
• AOS-CX 10.10.xxxx : AOS-CX 10.10.1180 et versions ultérieures

Tous les détails sont disponibles, y compris la liste précise des séries affectées, dans le bulletin de sécurité HPE.