HPE (Hewlett-Packard Enterprise)는 액세스 포인트에 대한 Aruba Instant의 하드 코드 자격 증명에 관한 비판적 경고를 발표하여 공격자가 인증을 우회하고 관리 제어를 얻을 수있게 해줄 수 있습니다. 이러한 액세스 포인트는 중소 규모 비즈니스를 위해 설계되었으며 클라우드 및 모바일 앱 관리 기능을 제공하는 엔터프라이즈 등급 기능을 제공합니다.
CVE-2025-37103으로 식별 된 보안 취약점은 9.8의 중요한 CVSS v3.1 점수를 제공합니다. 펌웨어 버전 3.2.0.1 이상을 실행하는 액세스 포인트의 순간에 영향을 미칩니다. HPE는 게시판에서 “하드 코드 로그인 자격 증명은 액세스 포인트에서 HPE 네트워킹 순간에서 발견되어 일반적인 장치 인증을 우회 할 수있는 사람이 있습니다.” 이 결함을 성공적으로 이용하면 자격 증명이 펌웨어에 포함되어 있기 때문에 원격 공격자에게 시스템에 대한 전체 관리 액세스 권한을 부여 할 수 있습니다.
관리 액세스를 통해 공격자는 액세스 포인트 설정, 보안 프로토콜 재구성, 백도어 설치, 네트워크 트래픽을 캡처하여 은밀한 감시를 수행하거나 네트워크 내 측면 이동을 시도 할 수 있습니다. 이 취약점은 ZZ로 알려진 Ubisectech Sirius 팀 보안 연구원에 의해 발견되어 HPE에보고되었습니다.
HPE는 영향을받는 장치의 사용자에게 펌웨어 버전 3.2.1.0 또는 최신 인수를 사용할 수 없으므로 위험을 완화하도록 강력히 권장합니다. HPE는 CVE-2025-37103이 스위치에 즉각적인 영향을 미치지 않는다고 밝혔다.
동일한 게시판에서 HPE는 또한 두 번째 고성상 취약성 인 CVE-2025-37102를 강조했습니다. 이 결함은 액세스 포인트에서 Aruba Instant의 CLI (Command Line Interface)에서 발견 된 인증 명령 주입 취약성을 포함합니다. CVE-2025-37102에는 착취를위한 관리 액세스가 필요하지만 CVE-2025-37103으로 묶을 수 있습니다. 이용되면 위협 행위자가 CLI에 임의의 명령을 주입 할 수있어 잠재적으로 데이터 추출, 보안 비활성화 및 시스템 내에서 지속성을 설정할 수 있습니다. 이 문제는 펌웨어 버전 3.2.1.0 이상으로 업그레이드하여 해결됩니다.
현재 HPE Aruba 네트워킹에는이 두 가지 취약점이 야생에서 활용되고 있다는보고가 없습니다. 그러나 회사는이 상황이 빠르게 변할 수 있으므로 보안 업데이트를 즉시 적용하는 것의 중요성을 강조합니다.
Source: Aruba 액세스 포인트에는 큰 보안 구멍이 있습니다
