HPE เตือนช่องโหว่ Critical บน AOS-CX ทำให้รีเซ็ตรหัสผ่าน Admin ได้

Hewlett Packard Enterprise (HPE) ปล่อยแพตช์แก้ไขช่องโหว่หลายรายการบน AOS-CX ซึ่งเป็นระบบปฏิบัติการเครือข่ายของ Aruba Networking โดยมีช่องโหว่ระดับ Critical ที่ทำให้ผู้โจมตีสามารถรีเซ็ตรหัสผ่านของผู้ดูแลระบบได้

Credit: alexmillos/ShutterStock

AOS-CX เป็นระบบปฏิบัติการเครือข่ายแบบ Cloud-native ที่พัฒนาโดย Aruba Networks ซึ่งเป็นบริษัทในเครือของ HPE ใช้งานบนอุปกรณ์ Switch ตระกูล CX-series สำหรับเครือข่ายในองค์กรและ Data Center ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2026-23813 ซึ่งเป็นช่องโหว่ประเภท Authentication Bypass บน Web-based Management Interface ช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ต้องมีสิทธิ์ใดๆ สามารถข้ามกลไกการยืนยันตัวตนและรีเซ็ตรหัสผ่านของผู้ดูแลระบบได้โดยไม่ซับซ้อน

สำหรับผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตช์ได้ทันที HPE แนะนำวิธีบรรเทาผลกระทบหลายประการ ได้แก่

  • จำกัดการเข้าถึง Management Interface ให้อยู่ใน VLAN เฉพาะ
  • กำหนด Policy ควบคุมการเข้าถึงที่ Layer 3 ขึ้นไปเฉพาะ Host ที่ได้รับอนุญาต
  • ปิด HTTP(S) Interface บน Switched Virtual Interfaces (SVIs) และ Routed Port ที่ไม่จำเป็น
  • ใช้ Control Plane ACL ป้องกัน REST/HTTP Management Interface
  • เปิดระบบ Logging และ Monitoring เพื่อตรวจจับความพยายามเข้าถึงโดยไม่ได้รับอนุญาต

ปัจจุบัน HPE ระบุว่ายังไม่พบ Exploit Code ที่เปิดเผยต่อสาธารณะหรือหลักฐานว่ามีการโจมตีช่องโหว่เหล่านี้จริง อย่างไรก็ตาม ด้วยระดับความร้ายแรงที่เป็น Critical จึงแนะนำให้ผู้ดูแลระบบที่ใช้งาน AOS-CX Switch ดำเนินการอัปเดตแพตช์โดยเร็วที่สุด

ที่มา: https://www.bleepingcomputer.com/news/security/hpe-warns-of-critical-aos-cx-flaw-allowing-admin-password-resets/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …

ActiveMedia ขอเชิญเข้าฟัง Webinar “Next-Generation Data Protection for Your Business” 23 ก.ค. เวลา 14:00 น.

องค์กรของคุณพร้อมรับมือกับความท้าทายด้านข้อมูลในยุคดิจิทัลแล้วหรือยัง?