Hewlett-Packard Enterprise (HPE) ha publicado un boletín de seguridad alertando sobre dos vulnerabilidades en dispositivos Aruba Instant On Access Points, ampliamente utilizados por pequeñas y medianas empresas para ofrecer conectividad inalámbrica empresarial. Las fallas permiten a atacantes remotos acceder sin autenticación a la interfaz web del dispositivo e inyectar comandos maliciosos. Se recomienda aplicar firmware versión 3.2.1.0 o superior para corregir estos problemas.
Vulnerabilidades identificadas:
- CVE-2025-37103 (CVSS 9.8 – Crítica): Se descubrieron credenciales administrativas codificadas de forma estática en el firmware de Aruba Instant On Access Points. Un atacante que conozca estas credenciales puede autenticarse sin restricción en la interfaz web del dispositivo y obtener control total del sistema.
- CVE-2025-37102 (CVSS 7.2 – Alta): Vulnerabilidad de inyección de comandos autenticados en la CLI (Command Line Interface) del dispositivo. Requiere acceso administrativo, y permite ejecutar comandos arbitrarios en el sistema operativo con privilegios elevados. Puede ser encadenada con CVE-2025-37103, creando un escenario de compromiso total: acceso no autenticado seguido de ejecución remota de comandos
Productos y Versiones afectadas
| Producto | Plataforma/SO | Versiones Afectadas | Versión Corregida |
|---|---|---|---|
| Aruba Instant On Access Points | Firmware | Hasta e incluyendo 3.2.0.1 | 3.2.1.0 o superior |
No se ven afectados: Aruba Instant On Switches u otros dispositivos de red HPE.
Solución
La única solución efectiva es actualizar a la versión de firmware 3.2.1.0 o posterior. HPE no ha proporcionado mitigaciones temporales ni soluciones alternativas.
Recomendaciones:
- Aplicar la actualización de firmware 3.2.1.0 a la brevedad.
- Revisar los logs de acceso y configuraciones de red por posibles alteraciones.
- Implementar monitoreo de seguridad adicional para detectar uso no autorizado del dispositivo.
- Validar la integridad del firmware instalado y los certificados de administración.
- Reportar cualquier incidente a los centros de respuesta correspondientes (ej. CERT nacional).
Advertencia: Aunque no se ha observado explotación activa al momento, la facilidad del ataque y el impacto potencial hacen que esta actualización sea prioritaria.
Referencias
- https://ccb.belgium.be/advisories/warning-critical-vulnerability-cve-2025-37103-affects-hpe-networking-instant-access
- https://www.bleepingcomputer.com/news/security/hpe-warns-of-hardcoded-passwords-in-aruba-access-points/
- https://thehackernews.com/2025/07/hard-coded-credentials-found-in-hpe.html
- https://socradar.io/cve202537103-aruba-instant-on-hardcoded-passwords/
- https://access.redhat.com/security/cve/cve-2025-37103