В устройствах HPE Networking Instant On Access Points обнаружены две критические уязвимости, ставящие под угрозу безопасность корпоративных сетей. Основная угроза исходит от CVE-2025-37103 с рекордным уровнем опасности CVSS 9.8. Причина – жестко заданные (hard-coded) логин и пароль в прошивке. Любой злоумышленник, знающий эти учетные данные, может полностью обойти аутентификацию и получить полный административный доступ к точке доступа, как если бы он был сетевым администратором.
Вторая брешь, CVE-2025-37102 (CVSS 7.2, высокий уровень), требует от атакующего предварительного входа в систему с повышенными привилегиями. Эксплуатируя эту уязвимость типа внедрения команд в командной строке (CLI), злоумышленник получает возможность выполнять произвольные команды на базовой операционной системе устройства с правами привилегированного пользователя.
Компания Hewlett-Packard Enterprise (HPE) оперативно отреагировала на угрозы. Обе уязвимости устранены в обновленной версии прошивки HPE Networking Instant On software 3.2.1.0 и выше. Установка этого апдейта является единственной эффективной мерой защиты. Важно отметить, что уязвимы исключительно точки доступа HPE Networking Instant On Access Points. Одноименные коммутаторы (Switches) данной линейки не подвержены этим конкретным уязвимостям.
Честь обнаружения обеих опасных брешей принадлежит исследователю ZZ из команды безопасности Ubisectech Sirius Team, который ответственно сообщил о них в HPE. На текущий момент нет свидетельств того, что уязвимости CVE-2025-37103 или CVE-2025-37102 используются злоумышленниками в активных атаках. Однако учитывая критический характер первой из них, особенно связанный с жестко заданными паролями, задержка с обновлением крайне рискованна. Патч уже доступен – примените его немедленно.
Изображение носит иллюстративный характер
Вторая брешь, CVE-2025-37102 (CVSS 7.2, высокий уровень), требует от атакующего предварительного входа в систему с повышенными привилегиями. Эксплуатируя эту уязвимость типа внедрения команд в командной строке (CLI), злоумышленник получает возможность выполнять произвольные команды на базовой операционной системе устройства с правами привилегированного пользователя.
Компания Hewlett-Packard Enterprise (HPE) оперативно отреагировала на угрозы. Обе уязвимости устранены в обновленной версии прошивки HPE Networking Instant On software 3.2.1.0 и выше. Установка этого апдейта является единственной эффективной мерой защиты. Важно отметить, что уязвимы исключительно точки доступа HPE Networking Instant On Access Points. Одноименные коммутаторы (Switches) данной линейки не подвержены этим конкретным уязвимостям.
Честь обнаружения обеих опасных брешей принадлежит исследователю ZZ из команды безопасности Ubisectech Sirius Team, который ответственно сообщил о них в HPE. На текущий момент нет свидетельств того, что уязвимости CVE-2025-37103 или CVE-2025-37102 используются злоумышленниками в активных атаках. Однако учитывая критический характер первой из них, особенно связанный с жестко заданными паролями, задержка с обновлением крайне рискованна. Патч уже доступен – примените его немедленно.
