CVE-2026-23818 : vol de credentials HPE Aruba 5G (8.8)

Les faits

Le 7 avril 2026, HPE a publié un avis de sécurité concernant la vulnérabilité CVE-2026-23818, une faille de redirection ouverte de haute sévérité (CVSS 8.8) affectant l'interface graphique d'administration de HPE Aruba Networking Private 5G Core On-Prem. Le CERT-FR a relayé cette alerte le 8 avril 2026 dans son avis CERTFR-2026-AVI-0402, soulignant le risque de contournement de la politique de sécurité. Cette vulnérabilité est particulièrement insidieuse car elle détourne le flux d'authentification légitime de la plateforme pour voler les identifiants des administrateurs réseau.

La faille réside dans un défaut de validation des paramètres de redirection au sein de l'architecture d'authentification de l'interface graphique. Concrètement, l'application ne sanitize pas correctement les chemins de redirection lors du processus de connexion, permettant à un attaquant de forger une URL malveillante qui exploite le mécanisme de login légitime. Lorsqu'un administrateur clique sur cette URL — typiquement reçue par email de phishing ou message interne — il est redirigé vers un serveur contrôlé par l'attaquant qui présente une page de connexion visuellement identique à la page légitime d'HPE Aruba.

L'administrateur, pensant être sur la véritable interface, saisit ses identifiants qui sont immédiatement capturés par le serveur de l'attaquant. Pour parfaire la tromperie, le serveur malveillant redirige ensuite la victime vers la vraie page de connexion HPE Aruba, rendant l'attaque quasiment indétectable. Cette vulnérabilité s'inscrit dans un contexte plus large de failles affectant les produits HPE Aruba : les CVE-2026-23595, CVE-2026-23596, CVE-2026-23597 et CVE-2026-23598, divulguées en février 2026, avaient déjà révélé un contournement d'authentification permettant la création de comptes privilégiés à distance.

Impact et exposition

Les infrastructures HPE Aruba Private 5G Core On-Prem sont déployées dans des environnements critiques : opérateurs télécoms, industries manufacturières, hôpitaux, campus logistiques et installations gouvernementales utilisant des réseaux 5G privés. La compromission des identifiants d'administration de cette plateforme donne à un attaquant un contrôle total sur l'infrastructure réseau 5G privée, incluant la configuration des politiques réseau, la gestion des abonnés et potentiellement l'interception du trafic.

Le score CVSS de 8.8 reflète la facilité d'exploitation (un simple lien de phishing suffit) combinée à l'impact majeur d'une compromission des credentials d'administration. Les organisations sont particulièrement vulnérables si leurs administrateurs accèdent à l'interface de gestion depuis des postes connectés à Internet ou si les communications internes ne sont pas suffisamment protégées contre le phishing. La combinaison avec les vulnérabilités précédentes de février 2026 non corrigées pourrait permettre une chaîne d'attaque complète allant du vol d'identifiants à la création de comptes backdoor persistants.

Recommandations immédiates

• Mettre à jour HPE Aruba Networking Private 5G Core vers la version 1.25.1.0 ou supérieure — HPE Security Bulletin HPESBNW05012
• Activer l'authentification multifacteur (MFA) pour tous les accès à l'interface d'administration afin de neutraliser l'exploitation même en cas de vol de credentials
• Former les administrateurs réseau à vérifier systématiquement l'URL complète avant de saisir leurs identifiants et à signaler tout lien suspect vers l'interface d'administration
• Vérifier que les vulnérabilités de février 2026 (CVE-2026-23595 à CVE-2026-23598) ont bien été corrigées pour éviter un chaînage d'exploits
• Surveiller les journaux d'authentification pour détecter des connexions depuis des adresses IP inhabituelles ou des créations de comptes non autorisées