Hewlett Packard Enterprise Güvenlik Açığını Duyurdu
Hewlett Packard Enterprise (HPE), Aruba Networking AOS-CX işletim sisteminde bir dizi güvenlik açığına yönelik yamalar yayınladı. Bu açıklar arasında kritik öneme sahip kimlik doğrulama ve kod yürütme sorunları bulunmaktadır.
AOS-CX İşletim Sisteminin Önemi
AOS-CX, HPE’nin Aruba Networks alt kuruluşu tarafından geliştirilmiş bir bulut tabanlı ağ işletim sistemidir. Bu sistem, HPE’nin CX serisi kampüs ve veri merkezi anahtarlama cihazları için kullanılmaktadır.
Kritik Açık: CVE-2026-23813
En ciddi güvenlik açığı, CVE-2026-23813 olarak takip edilen, yetkisiz kullanıcıların düşük karmaşıklıkta saldırılarla yönetici şifrelerini sıfırlamalarına olanak tanıyan kritik bir kimlik doğrulama atlatma açığıdır. HPE’nin yaptığı açıklamada, AOS-CX anahtarlarının web tabanlı yönetim arayüzünde, mevcut kimlik doğrulama kontrollerini aşabilen bir açığın tespit edildiği belirtildi.
HPE, bu spesifik güvenlik açıklarını hedef alan halka açık bir tartışma veya istismar kodu bulunmadığını ifade etti.
Etkilenen Sistemler
Aşağıdaki durumdaki anahtarların etkilenebileceği bildirilmiştir:
- AOS-CX işletim sistemine sahip HPE Aruba anahtarları
Çözüm ve Korunma
HPE, güvenlik güncellemelerini hemen uygulayamayan IT yöneticilerini, aşağıdaki önleyici tedbirleri almaya çağırmaktadır:
- Yönetim arayüzlerine erişimi, yönetim trafiğini izole etmek için özel bir Layer 2 segmenti veya VLAN ile sınırlayın.
- Yönetim arayüzlerine erişimi kontrol etmek için Layer 3 ve üzeri katmanda sıkı politikalar uygulayın; yalnızca yetkilendirilmiş ve güvenilir cihazların erişimine izin verin.
- Yönetim erişiminin gerekli olmadığı yerlerde, Anahtarlanan Sanal Arayüzlerde (SVI) ve yönlendirilmiş portlarda HTTP(S) arayüzlerini devre dışı bırakın.
- REST/HTTP etkin yönetim arayüzlerini korumak için Kontrol Düzlemi Erişim Kontrol Listeleri (ACL) uygulayın; yalnızca güvenilir istemcilerin HTTPS/REST uç noktalarına bağlanmasına izin verin.
- Tüm yönetim arayüzü etkinliklerinin kapsamlı hesaplama, günlükleme ve izleme süreçlerini etkinleştirerek, yetkisiz erişim girişimlerini tespit edin ve yanıt verin.
HPE, güvenlik açıklarının kötüye kullanıldığına dair kamuya açık bir örnek kod veya herhangi bir bulguya henüz ulaşmadığını belirtmiştir. Bununla birlikte, HPE’nin önceki duyurularında, yedekleme ve deduplikasyon çözümleri ile diğer birkaç kritik güvenlik açığına da dikkat çekildiği görülmektedir.
Sonuç
Okuyucuların, HPE Aruba AOS-CX anahtarlarını etkileyecek güvenlik yamalarını hemen uygulamaları ve yukarıdaki koruma önerilerini dikkate alarak sistemlerini güvenli hale getirmeleri önemlidir. Bu tür güvenlik açıkları, potansiyel olarak ciddi sorunlar yaratabileceğinden, güncellemelerin yapılması ve gerekli önlemlerin alınması kritik bir öneme sahiptir.
