Des vulnérabilités dans Aruba Networking AOS-CX, le système d’exploitation réseau de HPE pour ses commutateurs, ont conduit l’éditeur à publier des correctifs de sécurité. Le point le plus sensible tient à un scénario redouté dans les environnements d’entreprise: un attaquant peut parvenir à réinitialiser le mot de passe administrateur d’équipements de commutation, ce qui ouvre la voie à une prise de contrôle de l’infrastructure réseau. L’information a été rendue publique à travers les communications de sécurité de l’éditeur, qui indique avoir corrigé plusieurs failles affectant AOS-CX.
Dans les réseaux modernes, le commutateur n’est plus un simple boîtier de distribution. Il concentre des fonctions de segmentation, de qualité de service, de télémétrie et parfois d’automatisation. Une compromission au niveau de ce maillon permet d’observer, de détourner ou d’interrompre des flux internes, y compris ceux d’applications critiques. Les attaques sur l’équipement réseau ont aussi une caractéristique opérationnelle: elles se voient souvent tard, car elles se confondent avec des incidents de performance ou de configuration.
Le signal envoyé par cette série de correctifs est clair: la surface d’attaque des systèmes de gestion et des piles logicielles réseau reste élevée, même sur des produits conçus pour des environnements administrés. Les équipes sécurité et réseau se retrouvent face à une priorité immédiate, mettre à jour AOS-CX, et à une question de fond, réduire l’exposition des interfaces d’administration, parfois encore accessibles depuis des segments trop larges.
HPE corrige plusieurs failles Aruba AOS-CX, dont une réinitialisation du compte admin
Le cur de l’alerte concerne Aruba AOS-CX, l’OS réseau utilisé sur une partie des commutateurs Aruba destinés aux entreprises et aux campus. Selon les informations de sécurité publiées par l’éditeur, plusieurs vulnérabilités ont été identifiées puis corrigées. Parmi elles figure un cas particulièrement critique en termes d’impact: la possibilité, pour un attaquant, de réinitialiser le mot de passe administrateur du commutateur dans certaines conditions.
Une telle capacité ne se limite pas à contourner un contrôle d’accès ponctuel. Elle modifie durablement la relation de confiance entre l’organisation et son équipement: l’attaquant peut créer une fenêtre d’administration légitime, installer une persistance (par exemple via des comptes supplémentaires, des clés, des scripts de configuration), ou désactiver des mécanismes de journalisation. Sur un commutateur, l’accès administrateur donne aussi prise sur des fonctions qui dépassent la simple configuration des ports: VLAN, listes de contrôle d’accès, mirroring, routage interne selon les modèles, et intégrations avec des outils de supervision.
HPE indique avoir fermé ces failles via des mises à jour logicielles. Le message implicite est que l’exploitation est suffisamment plausible pour justifier une correction rapide, sans attendre un cycle de maintenance standard. Dans ce type de dossier, l’absence de détail public sur la chaîne d’exploitation n’est pas rare: les éditeurs cherchent souvent à limiter la facilité de reproduction avant que les parcs ne soient corrigés. Cette retenue ne change pas la priorité opérationnelle: appliquer les correctifs avant que des preuves de concept ne circulent plus largement.
Le fait que plusieurs vulnérabilités soient corrigées en même temps est également un indicateur. Les campagnes de recherche et les audits internes débouchent souvent sur des lots de failles, parfois liées à une même zone de code, à une même interface de gestion ou à des hypothèses de sécurité dépassées. Pour les entreprises, cela signifie que l’effort ne doit pas se limiter à un patch isolé: il faut vérifier la version exacte d’AOS-CX déployée, recenser les équipements concernés, et intégrer le correctif dans un processus de changement maîtrisé.
Pourquoi une réinitialisation du mot de passe sur un commutateur pèse plus qu’un simple bug
Dans un poste de travail, un mot de passe compromis peut être réinitialisé, et l’utilisateur retrouve un environnement relativement cloisonné. Sur un commutateur, le raisonnement change. Le commutateur est un point de passage, parfois un point de décision. Un accès administrateur ouvre la possibilité de reconfigurer des chemins réseau, d’altérer des politiques de segmentation et de rendre invisibles certaines activités. Le risque principal n’est pas seulement la panne, mais la perte d’intégrité et de confidentialité des flux.
Une réinitialisation du mot de passe administrateur n’implique pas nécessairement une exploitation à distance depuis Internet. Dans de nombreux incidents, l’attaque commence par un accès interne, via un poste compromis, une connexion VPN, un segment invité mal isolé, ou un équipement d’administration exposé. Si l’interface de gestion du commutateur est accessible depuis un réseau trop large, la barrière d’entrée baisse fortement. Le scénario le plus courant devient alors celui d’un attaquant qui, une fois dans le réseau, cherche à monter en privilèges sur les équipements d’infrastructure.
La valeur de ce type d’accès augmente avec la complexité des architectures. Dans les campus, les commutateurs agrègent des milliers de ports, des bornes Wi-Fi, des téléphones IP, des caméras, des automates. Dans les datacenters, ils relient des hyperviseurs et des stockages. Une compromission peut permettre de mettre en place un port mirroring pour capter des échanges, de modifier des ACL pour ouvrir des flux, ou de dégrader sélectivement des services pour créer une diversion. L’attaquant obtient aussi un levier de sabotage: désactiver des trunks, altérer des routes, ou provoquer des boucles et des tempêtes de broadcast.
Il existe aussi un enjeu de traçabilité. Les équipements réseau produisent des journaux, mais leur exploitation dépend de la centralisation et de la qualité de configuration. Un attaquant administrateur peut réduire le niveau de log, changer les destinations syslog, ou altérer l’heure et les paramètres qui facilitent la corrélation. Le coût de remédiation augmente alors: au-delà du correctif, il faut parfois revalider des configurations, comparer l’état réel avec les référentiels, et envisager une rotation des secrets et des clés utilisés par l’écosystème d’administration.
Mesures prioritaires: mise à jour AOS-CX, restriction des interfaces et contrôle des comptes
La première mesure est mécanique: identifier les commutateurs Aruba qui exécutent AOS-CX, vérifier la version et appliquer les correctifs fournis par HPE via les canaux habituels de support et de téléchargement. Dans les organisations matures, cette étape passe par un inventaire fiable, souvent alimenté par la supervision, l’IPAM et les outils de gestion de configuration. Dans les autres, elle commence par une cartographie rapide des segments d’administration et des modèles déployés.
La seconde mesure consiste à réduire l’exposition. Les interfaces de gestion (web, API, SSH, services annexes) doivent être accessibles uniquement depuis un réseau d’administration dédié, filtré et journalisé. Les règles de base restent efficaces: segmentation stricte, filtrage en entrée, suppression des accès depuis les VLAN utilisateurs, et interdiction de l’administration depuis des réseaux invités. Dans les environnements multisites, la tentation d’ouvrir largement pour simplifier l’exploitation est un piège. La simplification doit se faire via des bastions, pas via l’exposition.
Troisième axe: la gouvernance des identités et des comptes. Une fois les correctifs appliqués, il est prudent de vérifier la liste des comptes locaux, les clés et certificats, les intégrations RADIUS ou TACACS+, et les groupes de privilèges. Si un doute existe sur une exploitation passée, la rotation des secrets d’administration et la revue des configurations deviennent prioritaires. La présence de comptes inattendus, de règles d’accès modifiées, ou de destinations de logs altérées constitue un signal à investiguer.
Enfin, les organisations gagnent à tester leurs capacités de détection sur l’infrastructure réseau. Les événements d’authentification, les changements de configuration et les redémarrages doivent remonter vers un SIEM ou un outil de corrélation. Une alerte sur une réinitialisation de mot de passe, sur des tentatives répétées, ou sur un changement de politique d’accès est plus utile qu’une simple surveillance de la disponibilité. Dans les réseaux critiques, l’approche configuration as code et la comparaison régulière avec un état attendu réduisent le temps de réaction en cas d’altération.
Un rappel sur la sécurité des OS réseau, entre cycles de patch et dette d’exposition
Les systèmes d’exploitation réseau comme Aruba AOS-CX se rapprochent des OS généralistes par la richesse fonctionnelle: API, services web, agents de télémétrie, automatisation, intégrations cloud. Cette évolution accélère l’innovation, mais elle augmente la surface d’attaque. À mesure que les commutateurs deviennent des plateformes logicielles, les vulnérabilités se traitent de plus en plus comme celles d’un serveur: gestion de versions, correctifs réguliers, et arbitrages entre disponibilité et sécurité.
Le point faible n’est pas toujours la capacité à déployer un patch, mais la discipline de réduction d’exposition. Beaucoup d’incidents majeurs s’appuient sur une chaîne: un accès initial limité, puis un mouvement latéral, puis une élévation de privilèges. Les équipements réseau sont des cibles de choix dans cette phase, car ils offrent un contrôle transversal. La correction de vulnérabilités ne protège pas contre des interfaces d’administration ouvertes à des segments inadaptés, des mots de passe partagés, ou des comptes locaux oubliés.
La question du calendrier de mise à jour reste délicate. Les équipes réseau privilégient souvent les fenêtres de maintenance rares, car un commutateur est un point de dépendance. Mais l’augmentation de la cadence des alertes impose de revoir ce modèle. Les organisations les plus avancées segmentent leur parc, automatisent les sauvegardes de configuration, et planifient des mises à jour plus fréquentes sur des plages plus courtes. Elles investissent aussi dans des environnements de préproduction pour valider l’impact d’une nouvelle version d’AOS-CX sur les fonctionnalités spécifiques, comme l’empilement, les protocoles de redondance ou les politiques de sécurité.
Le message envoyé par cette série de correctifs est aussi un indicateur de maturité éditeur: publier, corriger, documenter, puis pousser à l’adoption des versions sûres. Pour les entreprises, la question devient celle de la capacité à suivre ce rythme sans mettre en risque la continuité. Les commutateurs ne se changent pas tous les trois ans comme des postes. La sécurité repose donc sur un triptyque: versions maintenues, exposition minimale, et supervision des changements. Un attaquant qui obtient une réinitialisation de mot de passe admin ne se contente pas d’un accès, il obtient un poste d’observation et d’action au cur du réseau.
Questions fréquentes
- Que doit faire une entreprise qui utilise des commutateurs Aruba sous AOS-CX ?
- Recenser les équipements sous AOS-CX, appliquer les correctifs publiés par HPE, restreindre l’accès aux interfaces d’administration à un réseau dédié, puis auditer les comptes et les changements de configuration récents.
