En bref

  • CVE-2026-23818 : vulnérabilité de redirection ouverte (CVSS 8.8) dans HPE Aruba Networking Private 5G Core On-Prem
  • Permet le vol de credentials d'administration via phishing ciblé exploitant le flux d'authentification légitime
  • Action urgente : mettre à jour vers la version 1.25.1.0 ou supérieure et sensibiliser les administrateurs aux URL suspectes

Les faits

Le 7 avril 2026, HPE a publié un avis de sécurité concernant la vulnérabilité CVE-2026-23818, une faille de redirection ouverte de haute sévérité (CVSS 8.8) affectant l'interface graphique d'administration de HPE Aruba Networking Private 5G Core On-Prem. Le CERT-FR a relayé cette alerte le 8 avril 2026 dans son avis CERTFR-2026-AVI-0402, soulignant le risque de contournement de la politique de sécurité. Cette vulnérabilité est particulièrement insidieuse car elle détourne le flux d'authentification légitime de la plateforme pour voler les identifiants des administrateurs réseau.

La faille réside dans un défaut de validation des paramètres de redirection au sein de l'architecture d'authentification de l'interface graphique. Concrètement, l'application ne sanitize pas correctement les chemins de redirection lors du processus de connexion, permettant à un attaquant de forger une URL malveillante qui exploite le mécanisme de login légitime. Lorsqu'un administrateur clique sur cette URL — typiquement reçue par email de phishing ou message interne — il est redirigé vers un serveur contrôlé par l'attaquant qui présente une page de connexion visuellement identique à la page légitime d'HPE Aruba.

L'administrateur, pensant être sur la véritable interface, saisit ses identifiants qui sont immédiatement capturés par le serveur de l'attaquant. Pour parfaire la tromperie, le serveur malveillant redirige ensuite la victime vers la vraie page de connexion HPE Aruba, rendant l'attaque quasiment indétectable. Cette vulnérabilité s'inscrit dans un contexte plus large de failles affectant les produits HPE Aruba : les CVE-2026-23595, CVE-2026-23596, CVE-2026-23597 et CVE-2026-23598, divulguées en février 2026, avaient déjà révélé un contournement d'authentification permettant la création de comptes privilégiés à distance.

Impact et exposition

Les infrastructures HPE Aruba Private 5G Core On-Prem sont déployées dans des environnements critiques : opérateurs télécoms, industries manufacturières, hôpitaux, campus logistiques et installations gouvernementales utilisant des réseaux 5G privés. La compromission des identifiants d'administration de cette plateforme donne à un attaquant un contrôle total sur l'infrastructure réseau 5G privée, incluant la configuration des politiques réseau, la gestion des abonnés et potentiellement l'interception du trafic.

Le score CVSS de 8.8 reflète la facilité d'exploitation (un simple lien de phishing suffit) combinée à l'impact majeur d'une compromission des credentials d'administration. Les organisations sont particulièrement vulnérables si leurs administrateurs accèdent à l'interface de gestion depuis des postes connectés à Internet ou si les communications internes ne sont pas suffisamment protégées contre le phishing. La combinaison avec les vulnérabilités précédentes de février 2026 non corrigées pourrait permettre une chaîne d'attaque complète allant du vol d'identifiants à la création de comptes backdoor persistants.

Recommandations immédiates

  • Mettre à jour HPE Aruba Networking Private 5G Core vers la version 1.25.1.0 ou supérieure — HPE Security Bulletin HPESBNW05012
  • Activer l'authentification multifacteur (MFA) pour tous les accès à l'interface d'administration afin de neutraliser l'exploitation même en cas de vol de credentials
  • Former les administrateurs réseau à vérifier systématiquement l'URL complète avant de saisir leurs identifiants et à signaler tout lien suspect vers l'interface d'administration
  • Vérifier que les vulnérabilités de février 2026 (CVE-2026-23595 à CVE-2026-23598) ont bien été corrigées pour éviter un chaînage d'exploits
  • Surveiller les journaux d'authentification pour détecter des connexions depuis des adresses IP inhabituelles ou des créations de comptes non autorisées

⚠️ Urgence

Cette vulnérabilité cible directement les administrateurs d'infrastructures 5G privées critiques. Le vol de credentials d'administration d'un réseau 5G privé peut avoir des conséquences catastrophiques dans les environnements industriels et hospitaliers. L'absence de correctif officiel au moment de la publication renforce l'urgence de mettre en place les mesures de mitigation. Activez le MFA immédiatement si ce n'est pas déjà fait.

Comment détecter si mes administrateurs ont été ciblés par cette attaque ?

Analysez les journaux de messagerie pour identifier des emails contenant des liens vers votre interface HPE Aruba avec des paramètres de redirection inhabituels. Vérifiez les journaux d'authentification de la plateforme pour repérer des connexions réussies suivies immédiatement d'une déconnexion (signe d'un redirect post-vol). Contrôlez également la liste des comptes administrateurs pour détecter des créations non autorisées, surtout si les CVE de février 2026 n'ont pas été corrigées.

Le MFA suffit-il à se protéger contre cette vulnérabilité ?

Le MFA neutralise efficacement le vol de credentials simple car même si l'attaquant capture le mot de passe, il ne pourra pas l'utiliser sans le second facteur. Cependant, des attaques avancées de type proxy en temps réel (adversary-in-the-middle) peuvent contourner certaines formes de MFA. Privilégiez les clés FIDO2/WebAuthn résistantes au phishing plutôt que les codes OTP par SMS ou application, et appliquez le correctif dès sa disponibilité.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Articles connexes :

Demander un audit

📎 Articles complémentaires