Η Hewlett Packard Enterprise (HPE) αποκάλυψε τέσσερις ευπάθειες υψηλής σοβαρότητας στις συσκευές της Aruba Networking Instant On που θα μπορούσαν να επιτρέψουν στους εισβολείς να έχουν πρόσβαση σε ευαίσθητες πληροφορίες δικτύου και να διακόψουν τις λειτουργίες.
Τα ελαττώματα ασφαλείας, που προσδιορίζονται ως CVE-2025-37165, CVE-2025-37166, CVE-2023-52340 και CVE-2022-48839, επηρεάζουν τις συσκευές που εκτελούν την έκδοση λογισμικού 3.3.1.0 και παλαιότερη.
Λεπτομέρειες ευπάθειας και αξιολόγηση κινδύνου
Η πιο κρίσιμη ευπάθεια, το CVE-2025-37165, εκθέτει τις λεπτομέρειες διαμόρφωσης VLAN μέσω ακούσιων διεπαφών δικτύου όταν οι συσκευές λειτουργούν σε λειτουργία δρομολογητή.
Οι εισβολείς μπορούν να επιθεωρήσουν τα επηρεαζόμενα πακέτα για να μάθουν για την τοπολογία του εσωτερικού δικτύου και τις ρυθμίσεις διαμόρφωσης.
Αυτό το ελάττωμα αποκάλυψης πληροφοριών έχει βαθμολογία CVSS v3.1 7,5 και δεν απαιτεί έλεγχο ταυτότητας για εκμετάλλευση.
| Αναγνωριστικό CVE | Περιγραφή | Αυστηρότητα | Βαθμολογία CVSS | Διάνυσμα | Διάνυσμα επίθεσης |
|---|---|---|---|---|---|
| CVE-2025-37165 | Έκθεση πληροφοριών VLAN σε λειτουργία δρομολογητή | Ψηλά | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | Δίκτυο |
| CVE-2025-37166 | DoS μέσω δημιουργημένων πακέτων που προκαλούν τον τερματισμό της συσκευής | Ψηλά | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | Δίκτυο |
| CVE-2023-52340 | Καταστροφή μνήμης επεξεργασίας πακέτων πυρήνα | Ψηλά | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | Δίκτυο |
| CVE-2022-48839 | Ευπάθεια διαχείρισης πακέτων IPv4/IPv6 | Ψηλά | 5.5 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H | Τοπικός |
Το CVE-2025-37166 επιτρέπει επιθέσεις άρνησης υπηρεσίας στέλνοντας ειδικά κατασκευασμένα πακέτα που αναγκάζουν τα σημεία πρόσβασης σε κατάσταση μη απόκρισης, απαιτώντας ενδεχομένως επαναφορές φυσικού υλικού για την επαναφορά της λειτουργικότητας.
Η ευπάθεια προέρχεται από ακατάλληλους μηχανισμούς επεξεργασίας πακέτων και μοιράζεται την ίδια βαθμολογία 7,5 CVSS με το ελάττωμα αποκάλυψης πληροφοριών.
Δύο επιπλέον ευπάθειες σε επίπεδο πυρήνα, τα CVE-2023-52340 και CVE-2022-48839, επηρεάζουν τον χειρισμό των πακέτων IPv4 και IPv6 από το υποκείμενο λειτουργικό σύστημα.
Αυτά τα ελαττώματα θα μπορούσαν να προκαλέσουν καταστροφή της μνήμης και σφάλματα συστήματος, με βαθμολογίες CVSS 7,5 και 5,5, αντίστοιχα.
Επηρεαζόμενος κίνδυνος υποδομής και εκμετάλλευσης
Τα τρωτά σημεία επηρεάζουν ειδικά το HPE Networking Instant σε σημεία πρόσβασης και το Aruba Instant On 1930 Switch Series που εκτελεί υλικολογισμικό 3.3.1.0 ή παλαιότερη έκδοση.
Η HPE επιβεβαίωσε ότι κανένα άλλο προϊόν της Aruba Networking δεν επηρεάζεται από αυτά τα ελαττώματα ασφαλείας.
Ο ερευνητής ασφαλείας Daniel J Blueman του Quora.org ανακάλυψε την ευπάθεια έκθεσης VLAN. Την ίδια στιγμή, ο Petr Chelmar της GreyCortex εντόπισε το ελάττωμα της άρνησης υπηρεσίας.
Τα τρωτά σημεία του πυρήνα ανακαλύφθηκαν εσωτερικά από την ομάδα μηχανικών Instant On της HPE κατά τη διάρκεια ελέγχων ασφαλείας.
Η HPE δηλώνει ότι δεν έχει στοιχεία ενεργητικής εκμετάλλευσης στη φύση από τις 13 Ιανουαρίου 2026, ημερομηνία συμβουλευτικής δημοσίευσης.
Ωστόσο, η προσιτή στο δίκτυο φύση τριών σημείων ευπάθειας και η χαμηλή πολυπλοκότητα επίθεσης αυξάνει σημαντικά τον κίνδυνο εκμετάλλευσης για μη επιδιορθωμένες συσκευές που εκτίθενται σε εσωτερικά ή εξωτερικά δίκτυα.
Η HPE κυκλοφόρησε την έκδοση λογισμικού 3.3.2.0 που αντιμετωπίζει και τα τέσσερα τρωτά σημεία.
Η εταιρεία ξεκίνησε αυτόματες ενημερώσεις κατά την εβδομάδα της 10ης Δεκεμβρίου 2025, πράγμα που σημαίνει ότι πολλές συσκευές μπορεί να έχουν ήδη λάβει την ενημερωμένη έκδοση κώδικα ασφαλείας.
Οι οργανισμοί θα πρέπει να επαληθεύουν τις εκδόσεις υλικολογισμικού της συσκευής τους μέσω της εφαρμογής Instant On για κινητά ή της πύλης web και να ενεργοποιούν μη αυτόματα ενημερώσεις εάν δεν έχει πραγματοποιηθεί αυτόματη ενημέρωση κώδικα.
Δεν υπάρχουν λύσεις για κανένα από τα αποκαλυπτόμενα τρωτά σημεία, καθιστώντας την άμεση ενημέρωση κώδικα τη μόνη αποτελεσματική στρατηγική μετριασμού.
Οι διαχειριστές δικτύου θα πρέπει να δίνουν προτεραιότητα στην ενημέρωση συσκευών που χειρίζονται ευαίσθητα τμήματα δικτύου ή παρέχουν κρίσιμες υπηρεσίες συνδεσιμότητας.
HPE συνιστά επανεξετάζοντας τακτικά τις διαδικασίες διαχείρισης και ασφάλειας του συστήματος για τη διατήρηση της ακεραιότητας της υποδομής και την προστασία από παρόμοια τρωτά σημεία σε μελλοντικές εκδόσεις λογισμικού.
