CVE-2026-23813 : HPE Aruba AOS-CX bypass admin critique CVSS 9.8

Les faits

Le 3 juin 2026, le CERT-FR a publie l'avis CERTFR-2026-AVI-0683 concernant une vulnerabilite critique dans HPE Aruba Networking AOS-CX, le systeme d'exploitation des commutateurs de la gamme CX. HPE avait simultanement publie le bulletin de securite HPESBNW05062 corrigeant deux vulnerabilites, CVE-2026-23813 et CVE-2026-23814, susceptibles de conduire a la compromission totale d'equipements reseau d'entreprise. L'Agence de cybersecurite de Singapour (CSA) a egalement emis une alerte AL-2026-023 sur ces memes vulnerabilites, soulignant leur portee internationale et la necessite d'une remediation prioritaire dans les infrastructures reseau d'entreprise.

CVE-2026-23813 est la vulnerabilite la plus critique du bulletin, avec un score CVSS 3.1 de 9.8 (Critical) et le vecteur AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. La faille reside dans la gestion de la fonctionnalite de reinitialisation de mot de passe de l'interface de management web d'AOS-CX. La racine du probleme est une verification d'authentification absente (CWE-306 : Missing Authentication for Critical Function) : l'application n'exige pas qu'une session authentifiee soit active avant d'executer la procedure de reinitialisation du mot de passe administrateur. Un attaquant peut forger une requete HTTP specialement construite vers le point de terminaison de reinitialisation et obtenir la modification du mot de passe administrateur du commutateur, sans jamais posseder de credentials valides.

La consequence directe de CVE-2026-23813 est la prise de controle administrative complete du commutateur : l'attaquant definit un nouveau mot de passe pour le compte administrateur, se connecte via l'interface web ou SSH, et dispose de toutes les capacites de configuration du switch. Dans une architecture reseau d'entreprise, un commutateur de distribution ou de coeur de reseau compromis permet la capture de trafic via port mirroring, la modification des VLAN, la desactivation de ports ou l'insertion de politiques de routage malveillantes. L'absence d'exigence d'authentification (PR:N dans le vecteur CVSS) rend l'exploitation accessible a tout attaquant ayant un acces reseau a l'interface de management.

La deuxieme vulnerabilite du bulletin, CVE-2026-23814, est une injection de commandes dans l'interface CLI d'AOS-CX avec un score CVSS 3.1 de 8.8 (High). Contrairement a CVE-2026-23813 qui ne requiert aucune authentification, CVE-2026-23814 necessite un acces avec de faibles privileges. La faille est classee CWE-77 (Improper Neutralization of Special Elements used in a Command), un probleme de validation insuffisante des parametres passes a une commande CLI specifique d'AOS-CX. Un attaquant ayant obtenu des credentials a faibles droits via phishing ou credential stuffing peut exploiter cette injection pour executer des commandes arbitraires sur le systeme d'exploitation sous-jacent. Dans le contexte operationnel, CVE-2026-23813 et CVE-2026-23814 se combinent naturellement : la premiere etablit un acces administrateur sans credentials, la seconde approfondit la compromission au niveau OS du switch.

Les versions affectees par les deux CVE couvrent les branches actives d'AOS-CX : la branche 10.10.x (versions anterieures a 10.10.1180), la branche 10.13.x (anterieures a 10.13.1090), la branche 10.15.x (anterieures a 10.15.1010) et la branche 10.16.x (anterieures a 10.16.1010). HPE a fourni des correctifs pour l'ensemble de ces branches dans le meme bulletin HPESBNW05062. Les commutateurs HPE Aruba AOS-CX concernes incluent les series 4100i, 6000, 6100, 6200, 6300, 6400, 8320, 8325, 8360, 8400 et CX 10000, representant une large gamme d'equipements deployes dans des environnements allant des PME aux grandes entreprises et datacenters.

Selon les chercheurs de CyCognito, la combinaison des deux vulnerabilites constitue une chaine d'exploitation pre-authentifiee menant a une execution de code root : CVE-2026-23813 fournit l'acces administrateur sans credentials, puis CVE-2026-23814 permet l'escalade vers le systeme d'exploitation. Les analystes de runZero ont identifie des milliers de commutateurs AOS-CX exposant leur interface de management sur internet, notamment dans des secteurs comme l'enseignement superieur, la sante et les collectivites locales ou la securisation des interfaces de management reseau est frequemment insuffisante.

La surface d'exposition est particulierement preoccupante pour les interfaces HTTP/HTTPS de management des commutateurs AOS-CX accessibles depuis internet ou des reseaux non segmentes. Dans de nombreuses configurations d'entreprise, l'interface web de gestion des switches est accessible depuis des postes de travail du reseau interne sans VPN d'administration dedie, ce qui signifie que tout attaquant ayant penetre le reseau interne peut exploiter CVE-2026-23813 sans obstacle supplementaire. La multiplication des acces distants post-pandemie a contribue a etendre cette surface d'attaque.

A ce jour, aucune exploitation active confirmee de CVE-2026-23813 ou CVE-2026-23814 n'a ete signalee publiquement. Cependant, la disponibilite d'analyses techniques detaillees publiees par plusieurs firmes de securite depuis la publication du bulletin HPE facilite considerablement le developpement d'exploits. L'historique des vulnerabilites sur interfaces de management reseau demontre que le delai entre la publication d'une analyse technique et les premieres exploitations actives se mesure en jours a quelques semaines. Les mesures de protection doivent donc etre appliquees immediatement sans attendre une confirmation d'exploitation.

Impact et exposition

Les commutateurs HPE Aruba AOS-CX sont massivement deployes dans des environnements d'entreprise, d'enseignement superieur et de sante. La compromission d'un commutateur de distribution via CVE-2026-23813 donne a l'attaquant un controle total sur le segment reseau gere : interception de trafic via port mirroring, modification des associations VLAN, suppression de regles ACL protégeant des zones sensibles, ou modification du routage pour creer des chemins d'exfiltration dissimules et durables.

L'exploitation sans authentification (CVE-2026-23813, PR:N) signifie que tout attaquant avec un acces reseau a l'interface web du switch peut potentiellement compromettre l'equipement. Pour les switches exposant leur interface de management sur internet, l'exploitation peut etre realisee depuis n'importe quel point d'internet. Pour les switches en reseau interne uniquement, l'exploitation requiert un premier acces reseau mais aucun credential supplementaire au-dela du simple acces au VLAN de management.

La chaine CVE-2026-23813 et CVE-2026-23814 ouvre la voie a une persistance profonde sur l'infrastructure reseau : backdoors dans la configuration, comptes administrateurs caches, regles de routage malveillantes. La nature meme des equipements reseau, peu visibles sur les EDR et XDR habituels, rend la detection d'une compromission particulierement complexe et peut permettre a un attaquant de se maintenir des mois sur l'infrastructure sans detection.

Recommandations immediates

• Appliquer immediatement les correctifs HPE HPESBNW05062 : AOS-CX 10.10.1180, 10.13.1090, 10.15.1010 ou 10.16.1010 selon la branche installee
• Desactiver HTTP/HTTPS sur toutes les interfaces ne necessitant pas de management web avec la commande no web-management dans la configuration AOS-CX
• Restreindre l'acces a l'interface de management via ACL Layer 3 aux seules adresses IP de management autorisees
• Isoler les interfaces de management sur un VLAN dedie hors de portee des reseaux utilisateurs et partenaires
• Auditer les comptes administrateurs configures sur chaque switch et verifier l'absence de comptes non autorises
• Examiner les journaux d'acces web aux equipements pour detecter toute tentative de reinitialisation de mot de passe depuis le 3 juin 2026