HPE Aruba access points kwetsbaar door hardcoded wachtwoord
Aruba access points van Hewlett Packard Enterprise (HPE) zijn kwetsbaar vanwege de aanwezigheid van een hardcoded wachtwoord, zo laat de fabrikant weten. Die heeft een update uitgebracht om het probleem te verhelpen. De kwetsbaarheid (CVE-2025-37103) is aanwezig in de webinterface van HPE Networking Instant On Access Points. Het gaat hier om wifi-apparatuur bedoeld voor kleine bedrijven.
De software van de apparaten blijkt "hardcoded login credentials" te bevatten waardoor iedereen met kennis van deze inloggegevens de normale authenticatie kan omzeilen. "Succesvol misbruik kan een remote aanvaller admin-toegang tot het systeem geven", aldus het beveiligingsbulletin van HPE. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Beheerders worden opgeroepen om te updaten naar versie 3.2.1.0. Deze update verhelpt ook een andere kwetsbaarheid waardoor een geauthenticeerde aanvaller willekeurige commando's met verhoogde rechten op het onderliggende besturingssysteem kan uitvoeren. Een aanvaller zou eerst via CVE-2025-37103 toegang kunnen krijgen om vervolgens het tweede lek te misbruiken. Beide kwetsbaarheden werden door dezelfde onderzoeker aan HPE gerapporteerd.
We now have to remove this account but the update will contain another invisible user.
This time we will make it harder to detect it.
Securite by obscurity faalt al 50 jaar in de ict, voor die tijd was ict te beperkt toegepast om beveiligd te worden anders dan door portiers.
Iedere developer tijdens de ontwikkelfase.
Het probleem is dat het er niet uit gaat richting release.
En hoe kan het dat een gerenommeerd bedrijf als HP zulke oenen in dienst heeft?
Ga een tijdje coden - dan snap je waar (en hoe) de bugs in released software vandaan komen.
Ook nuttig als je wilt gaan pentesten - weten hoe er 'normaal gewerkt' wordt leert je erg veel naar welke fouten, shortcuts, en workarounds je kunt gaan zoeken.
Idem voor red teaming , of (fysiek) pentesten - praten als een service monteur (of collega van andere vestiging) lukt beter als je dat ook geweest bent of minimaal aangehoord hebt.
Ach ja, Ciso is helaas niet veel anders ;)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?