สรุปสั้น
Hewlett Packard Enterprise (HPE) ออกแพตช์แก้ไขช่องโหว่ร้ายแรงใน Aruba Networking AOS-CX ระบบปฏิบัติการสำหรับสวิตช์เครือข่ายระดับองค์กร ช่องโหว่ CVE-2026-23813 มีคะแนน CVSS 9.8 ระดับ Critical เป็นปัญหา authentication bypass ผู้โจมตีสามารถ รีเซ็ตรหัสผ่าน admin ผ่าน web-based management interface โดยไม่ต้องยืนยันตัวตน การโจมตีทำได้จากระยะไกลและมีความซับซ้อนต่ำ (low-complexity attack) กระทบสวิตช์ตระกูล CX หลายรุ่น ตั้งแต่ CX 4100i จนถึง CX 10000 series ณ เวลาเผยแพร่ ยังไม่พบ PoC exploit code สาธารณะหรือการโจมตีจริง แต่ควรแพตช์โดยเร็ว
รายละเอียดข่าว
เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 16 พ.ค. 69 ว่า HPE ออก advisory เตือนช่องโหว่ร้ายแรงใน Aruba Networking AOS-CX ที่เป็นระบบปฏิบัติการสำหรับสวิตช์เครือข่ายระดับองค์กรและ data center Aruba Networking เป็นแบรนด์ภายใต้ HPE ที่มีส่วนแบ่งตลาดสูงในกลุ่มสวิตช์สำหรับองค์กรขนาดกลางถึงใหญ่ ช่องโหว่อยู่ใน web-based management interface ซึ่งผู้ดูแลระบบใช้จัดการ configuration ของสวิตช์ผ่านเว็บเบราว์เซอร์ HPE ออกแพตช์หลายเวอร์ชันเพื่อรองรับสวิตช์ที่ใช้ firmware ต่างรุ่น แม้ยังไม่มี exploit สาธารณะ แต่ด้วยความง่ายในการโจมตีและผลกระทบที่สูง (CVSS 9.8) จึงควรแพตช์โดยเร็วที่สุด BleepingComputer ยืนยันข้อมูลเดียวกันและเน้นว่าการโจมตีไม่ต้องมีสิทธิ์ใดๆ ก่อนเลย องค์กรที่ไม่สามารถแพตช์ได้ทันทีควรปิด HTTP/HTTPS management interface บน routed ports เป็นมาตรการชั่วคราว
รายละเอียดช่องโหว่
CVE-2026-23813 — Authentication Bypass in AOS-CX Web Management (CVSS 9.8)
- ช่องโหว่อยู่ใน web-based management interface ของ AOS-CX switches
- ผู้โจมตีที่ไม่มีสิทธิ์ใดๆ สามารถ bypass authentication controls ได้
- ผลลัพธ์คือสามารถ รีเซ็ตรหัสผ่าน administrator ของสวิตช์
- เมื่อได้รหัสผ่าน admin ใหม่ ผู้โจมตีจะควบคุมสวิตช์ได้ทั้งหมด
- การโจมตีมีความซับซ้อนต่ำ ทำได้จากระยะไกล ไม่ต้อง user interaction
สวิตช์ที่ได้รับผลกระทบ:
- CX 4100i, CX 6000, CX 6100, CX 6200
- CX 6300, CX 6400, CX 8320, CX 8325
- CX 8360, CX 9300, CX 10000 series
เวอร์ชันแพตช์: AOS-CX 10.17.1001, 10.16.1030, 10.13.1161 และ 10.10.1180
ผลกระทบต่อไทย
สวิตช์ HPE Aruba ตระกูล CX ถูกใช้อย่างแพร่หลายในองค์กรไทย ทั้งธนาคาร มหาวิทยาลัย โรงพยาบาล และหน่วยงานราชการ โดยเฉพาะรุ่น CX 6300 และ CX 6400 ที่เป็นที่นิยมสำหรับ campus network
หากผู้โจมตีเข้าถึง management interface ได้ (เช่น จากเครือข่ายภายในหรือผ่าน management VLAN ที่ตั้งค่าไม่ดี) จะสามารถยึดสวิตช์แล้วดักจับ traffic ทั้งหมดที่ผ่านอุปกรณ์ หรือเปลี่ยน routing เพื่อ redirect traffic ไปยังเครื่องของผู้โจมตี
คำแนะนำ
- อัปเดต AOS-CX เป็นเวอร์ชันที่แพตช์แล้วโดยเร็ว
- จำกัดการเข้าถึง management interface ด้วย ACL เฉพาะ IP ที่อนุญาต
- ปิด HTTP/HTTPS interface บน SVI และ routed ports ที่ไม่จำเป็น
- แยก management network ออกจาก user network (out-of-band management)
- เปิด logging และ monitoring สำหรับ management interface ทุกครั้ง
