HPE AOS-CX : une faille CVSS 9.8 permet le reset des mots de passe admin

3 April 2026

•

Mis à jour le 3 April 2026

•

5 min de lecture

•

687 mots

•

9 vues

HPE publie un correctif pour CVE-2026-23813, une faille CVSS 9.8 dans AOS-CX permettant à un attaquant non authentifié de réinitialiser les mots de passe admin des switches Aruba.

En bref

CVE-2026-23813 (CVSS 9.8) affecte les switches HPE Aruba Networking AOS-CX — 11 gammes de produits concernées
Un attaquant non authentifié peut réinitialiser à distance les mots de passe administrateurs
Les correctifs sont disponibles dans les versions AOS-CX 10.17.1001, 10.16.1030, 10.13.1161 et 10.10.1180

Les faits

HPE Aruba Networking a publié fin mars 2026 un bulletin de sécurité concernant une vulnérabilité critique dans le système d'exploitation AOS-CX de ses switches réseau. Référencée CVE-2026-23813 avec un score CVSS de 9.8, cette faille permet à un attaquant distant et non authentifié de contourner les mécanismes d'authentification existants pour réinitialiser les mots de passe des comptes administrateurs. L'alerte a été relayée par SecurityWeek et BleepingComputer, qui soulignent l'ampleur du parc potentiellement affecté.

La vulnérabilité touche une large gamme de switches d'entreprise : les séries CX 4100i, CX 6000, CX 6100, CX 6200, CX 6300, CX 6400, CX 8320, CX 8325, CX 8360, CX 9300 et CX 10000. Ces équipements sont déployés massivement dans les datacenters, les campus d'entreprise et les environnements industriels. HPE a publié des correctifs dans les versions AOS-CX 10.17.1001, 10.16.1030, 10.13.1161 et 10.10.1180, couvrant les quatre branches de maintenance actuellement supportées.

Impact et exposition

L'impact de cette vulnérabilité est considérable pour plusieurs raisons. Les switches AOS-CX constituent souvent l'épine dorsale du réseau d'entreprise — leur compromission donne à un attaquant un accès privilégié au coeur de l'infrastructure réseau. Un attaquant qui réinitialise le mot de passe administrateur d'un switch peut reconfigurer les VLAN, désactiver les ACL de sécurité, intercepter le trafic réseau ou créer des tunnels persistants vers l'extérieur. Les séries CX 8000 et CX 10000 sont particulièrement présentes dans les environnements datacenter critiques. Toute organisation exposant ses interfaces de management sur des réseaux insuffisamment segmentés est directement à risque, d'autant qu'aucune authentification n'est nécessaire pour exploiter la faille.

Recommandations

Appliquer les correctifs AOS-CX immédiatement — les versions patchées sont disponibles pour les quatre branches supportées
Restreindre l'accès aux interfaces de management des switches à un VLAN d'administration dédié avec ACL strictes
Désactiver les interfaces HTTP/HTTPS sur les SVI et ports routés qui ne nécessitent pas d'accès web de management
Activer la journalisation complète et la supervision des accès aux interfaces de management pour détecter toute tentative d'exploitation

Alerte critique

Un switch réseau compromis est un cauchemar pour toute équipe de sécurité : il permet l'interception de trafic, le contournement de la segmentation réseau et la persistance quasi indétectable. Priorisez le patching de vos switches AOS-CX, en commençant par ceux dont les interfaces de management sont accessibles depuis des segments non dédiés.

Quels switches HPE Aruba sont concernés par CVE-2026-23813 ?

Les gammes affectées sont les CX 4100i, CX 6000, CX 6100, CX 6200, CX 6300, CX 6400, CX 8320, CX 8325, CX 8360, CX 9300 et CX 10000. Vérifiez la version AOS-CX de vos équipements via la commande show version ou depuis votre plateforme Aruba Central. Les versions antérieures à 10.17.1001, 10.16.1030, 10.13.1161 ou 10.10.1180 (selon votre branche) sont vulnérables.

Comment protéger mes switches en attendant le déploiement du patch ?

Trois mesures de contournement prioritaires : premièrement, isolez toutes les interfaces de management sur un VLAN dédié accessible uniquement depuis des postes d'administration identifiés. Deuxièmement, désactivez l'accès HTTPS sur les interfaces SVI et ports routés. Troisièmement, mettez en place des ACL restrictives sur le plan de management (management plane) pour limiter les adresses IP sources autorisées à se connecter.

Cette faille s'inscrit dans une tendance préoccupante de vulnérabilités critiques affectant les équipements réseau d'entreprise en 2026. En mars, Citrix NetScaler a fait l'objet d'une exploitation active via CVE-2026-3055, tandis que Cisco SD-WAN révélait un zero-day exploité depuis trois ans. Les équipements réseau restent des cibles privilégiées car leur compromission offre un accès transversal à toute l'infrastructure. Une approche de gestion des vulnérabilités rigoureuse et une segmentation réseau stricte sont indispensables pour réduire la surface d'attaque. La mise en place d'un lab de test permet de valider les mises à jour firmware avant leur déploiement en production.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit

Partager cet article

Twitter LinkedIn

À propos de l'auteur

Ayi NEDJIMI

Disponible

Expert Cybersécurité Offensive & Intelligence Artificielle

ayi@ayinedjimi-consultants.fr

20+

ans

700+

articles

100+

missions

Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.

Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.

Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).

Pentest AD Cloud Security Forensics Rétro-ingénierie IA / LLM / RAG NIS2 / ISO 27001 OT / ICS

Profil complet

Ressources & Outils de l'auteur

GitHub

Code & projets open source

Hugging Face

Modèles IA & datasets

CertifExpress

Préparez vos certifications IT

WindowsBooster

Optimisation Windows 11

Articles connexes

766 serveurs Next.js compromis : vol massif de credentials via NEXUS Listener

Au moins 766 serveurs Next.js ont été compromis via React2Shell (CVE-2025-55182). Les attaquants utilisent le panneau C2 NEXUS Listener pour centraliser les credentials volés depuis les fichiers .env.

03/04/2026

Cisco corrige deux failles critiques CVSS 9.8 dans IMC et SSM

Cisco publie des correctifs urgents pour deux failles CVSS 9.8 dans IMC et SSM On-Prem. CVE-2026-20093 permet la prise de contrôle admin sans authentification, CVE-2026-20160 offre une exécution root à distance.

03/04/2026

Le FBI alerte sur les risques des applications mobiles chinoises

Le FBI déconseille l'utilisation d'applications mobiles chinoises comme TikTok, Temu ou DeepSeek, citant les lois de sécurité nationale permettant l'accès aux données.

03/04/2026

Article précédent

766 serveurs Next.js compromis : vol massif de credentials via NEXUS Listener

Article suivant

Le délai d'exploitation se réduit à néant : ce que ça change pour votre défense

Commentaires (1)

Marc-Antoine Lefèvre 01/01/0001 à 00:00

On a un parc de 200+ switches Aruba CX en campus. Le patch est en cours de déploiement via Aruba Central mais le scheduling prend du temps vu le nombre d'équipements. En attendant, ACL sur le management plane comme recommandé.

Laisser un commentaire