HPE Aruba : patchez vos points d’accès Wi-Fi pour éliminer ces identifiants codés en dur !
HPE vient de publier des correctifs pour ses points d'accès Wi-Fi Instant On. La raison ? Des identifiants codés en dur permettent à n'importe qui de prendre le contrôle d'un équipement. Voici ce qu'il faut retenir.
Sommaire
CVE-2025-37103 : des identifiants en dur, la porte ouverte aux attaquants
Une nouvelle faille de sécurité associée à la référence CVE-2025-37103 et à un score CVSS v3.1 de 9.8 sur 10 a été corrigée dans les points d'accès Wi-Fi de la gamme Aruba Instant On. Le cœur du problème réside dans des identifiants de connexion codés en dur dans le firmware utilisés par ces équipements réseaux.
"Des identifiants de connexion codés en dur ont été découverts dans les points d'accès HPE Networking Instant On, permettant à toute personne ayant connaissance de ces identifiants de contourner l'authentification normale de l'appareil.", précise HPE. Le message est clair : n'importe qui ayant connaissance de ces identifiants peut prendre le contrôle d'un point d'accès Wi-Fi vulnérable, à condition d'avoir accès à l'interface web de gestion.
"Une exploitation réussie pourrait permettre à un attaquant distant d'obtenir un accès administratif au système.", donc forcément, c'est une faille de sécurité critique tant l'exploitation est triviale à partir du moment où l'on a connaissance des identifiants.
CVE-2025-37102 : une seconde vulnérabilité
Pour ne rien arranger, une seconde vulnérabilité, référencée CVE-2025-37102 (score CVSS de 7.2), a également été corrigée. Il s'agit d'une faille d'injection de commandes dans l'interface en ligne de commande (CLI) exploitable à partir d'un accès authentifié. Comme cette faille requiert des permissions spécifiques, elle peut sembler difficile à exploiter, sauf si elle est combinée à l'autre faille, la CVE-2025-37103.
Concrètement, nous pouvons imaginer le scénario suivant : un attaquant pourrait ainsi exploiter la CVE-2025-37103 pour obtenir l'accès administrateur, puis enchaîner avec la CVE-2025-37102 pour exécuter des commandes arbitraires sur le système d'exploitation sous-jacent avec des privilèges élevés.
La découverte de ces deux failles est attribuée au chercheur ZZ de l'équipe Ubisectech Sirius.
Comment se protéger ?
La solution pour se protéger de ces deux vulnérabilités et éliminer les identifiants codés en dur, c'est de mettre à jour le firmware des bornes Wi-Fi vulnérables. Le bulletin de sécurité publié par HPE précise que les équipements avec le firmware 3.2.0.1 ou inférieur sont vulnérables.
"Veuillez noter que les appareils Instant On ont commencé à être mis à jour automatiquement au cours de la semaine du 30 juin 2025. Aucune action n'est requise de la part des clients pour que cela se produise, mais des mises à jour manuelles peuvent être déclenchées via l'application Instant On ou le portail web après la date de mise à jour.", précise HPE.
Les autres équipements, comme les commutateurs HPE Networking Instant On, ne sont pas concernés. Bien qu'aucune exploitation active de ces failles n'ait été détectée à ce jour, il est recommandé d'appliquer ce correctif.
Personnellement, la CVE-2025-37103 m'interroge : HPE avait certainement connaissance de la présence de ces identifiants codés en dur. Si le chercheur en sécurité n'avait pas mis en évidence ce problème de sécurité, il est probable que ceux-ci auraient été conservés...
Qu'en pensez-vous ?
Je trouve ça complètement allucinant.
Soit c’est un stagiaire nul qui a codé mais dans ce cas quid du reste s’il n’y a aucune vérification, soit c’est fait à dessein, et ça ne me surprend pas.
C’est tout simplement une Back door.
Bonjour,
Je n’ai aucun accès pour mettre à jour mes firmwares… via l’application mobile je n’ai pas d’option et en web pas d’administration.
Je suis en 3.2.0.1…
Quelle solution ? Merci