В Hewlett-Packard Enterprise (HPE) предупредили клиентов о наличии изначально запрограммированных учётных записей (hardcoded passwords) в точках доступа Aruba Instant On, которые позволяют злоумышленникам обходить обычную аутентификацию устройства и получать доступ к веб-интерфейсу сетевого оборудования компаний.
Точки доступа Aruba Instant On — это компактные беспроводные Wi-Fi-устройства с поддержкой технологии plug-and-play, разработанные в первую очередь для малого и среднего бизнеса и предлагающие корпоративные сервисы (гостевые сети, сегментация трафика) с управлением через облако/мобильные приложения.
В HPE признали наличие критической уязвимости безопасности CVE-2025-37103, которая затрагивает точки доступа Instant On с версией прошивки 3.2.0.1 и ниже.
«В точках доступа HPE Networking Instant On были обнаружены жёстко зашитые учётные данные, позволяющие любому, кто знает об этом, обойти обычную аутентификацию устройства. Успешная эксплуатация уязвимости может позволить удалённому злоумышленнику получить административный доступ к системе», — поясняется в бюллетене HPE. Поскольку административные учётные данные зашиты в прошивку, для опытных злоумышленников их обнаружение не составит труда.
Получив доступ к веб-интерфейсу как администраторы, злоумышленники могут изменить настройки точки доступа, перенастроить систему безопасности, установить бэкдоры, осуществлять скрытое наблюдение или перехватывать трафик.
Уязвимость CVE-2025-37103 обнаружил исследователь безопасности команды Ubisectech Sirius Team. Он сообщил о ней непосредственно производителю. Пользователям уязвимых устройств рекомендуется обновить прошивку до версии 3.2.1.0 или более поздней для устранения рисков проникновения злоумышленников в сетевые устройства.
HPE не предоставила обходных путей по этому инциденту, поэтому пользователям рекомендуется установить исправления прошивки как можно скорее. В бюллетене HPE уточняется, что уязвимость CVE-2025-37103 не затрагивает коммутаторы Instant On.
На данный момент HPE Aruba Networking не располагает информацией о каких-либо сообщениях об эксплуатации уязвимости CVE-2025-37103, а также CVE-2025-37102, связанную с возможностью внедрения третьими лицами аутентифицированных команд в интерфейс командной строки точек доступа Aruba Instant On.
Источник: habr.com