Компания HPE Aruba Networking выпустила срочное предупреждение о безопасности, касающееся серии критических уязвимостей в своей платформе Private 5G Core. Обнаруженные изъяны позволяют злоумышленникам создавать несанкционированные административные учетные записи, нарушать работу сервисов и получать доступ к конфиденциальной системной информации. Уязвимости представляют особую опасность для корпоративных и промышленных сетей, использующих эту технологию для развертывания частных сетей пятого поколения.
Детали уязвимости
Проблемы, получившие идентификаторы CVE-2026-23595, CVE-2026-23596, CVE-2026-23597 и CVE-2026-23598, были обнаружены экспертами Коммуникационного агентства безопасности Канады (Communications Security Establishment, CSE). Они затрагивают версии платформы с 1.24.3.0 по 1.24.3.3 включительно.
Наиболее серьезной из них является CVE-2026-23595. Эта уязвимость обхода аутентификации (authentication bypass) в API приложения получила высокий балл 8.8 по шкале CVSS. Её эксплуатация позволяет удаленным злоумышленникам без каких-либо учетных данных создавать привилегированные пользовательские аккаунты. В результате атакующий получает административный доступ к системе. Следовательно, он может изменять конфигурации, манипулировать чувствительными данными и устанавливать постоянное присутствие (persistence) в сетевой инфраструктуре. Для атаки требуется доступ к смежной сети, но не нужно взаимодействие с пользователем, что повышает её потенциальную опасность.
Другая проблема, CVE-2026-23596, оцененная в 6.5 баллов, связана с некорректным контролем доступа в API управления. Неаутентифицированный злоумышленник может использовать эту уязвимость средней степени серьезности для принудительной перезагрузки сервисов. Подобные действия ведут к нарушению доступности критически важных сетевых служб и могут вызвать операционные простои.
Оставшиеся две уязвимости, CVE-2026-23597 и CVE-2026-23598, также имеют рейтинг CVSS 6.5 и классифицируются как утечка информации. Ошибки в обработке исключений API позволяют получить детальные сведения о системе. В частности, атакующий может выяснить данные пользовательских учетных записей, их роли, параметры конфигурации системы, а также информацию о внутренних сервисах и рабочих процессах. Подобная утечка значительно облегчает планирование и проведение сложных многоэтапных атак, предоставляя злоумышленникам ценную разведывательную информацию.
Важно отметить, что проблемы затрагивают только конкретные версии продукта: 1.24.3.0, 1.24.3.1, 1.24.3.2 и 1.24.3.3. Более ранние версии, включая 1.24.2.2 и ниже, а также версия 1.25.1.0 и новее, не подвержены данным уязвимостям.
Компания HPE настоятельно рекомендует всем организациям, использующим уязвимые версии, немедленно обновиться до версии 1.25.1.0 или выше. Исправления уже доступны через портал корпоративных лицензий HPE по адресу myenterpriselicense.hpe.com. Производитель подчеркивает, что для устранения этих рисков не существует никаких обходных путей или временных мер. Таким образом, установка патча остается единственной эффективной стратегией защиты.
Данный инцидент в очередной раз подчеркивает важность своевременного обновления критической сетевой инфраструктуры. Эксперты по кибербезопасности призывают администраторов тщательно отслеживать бюллетени безопасности вендоров и оперативно применять исправления, особенно когда речь идет о компонентах, обеспечивающих работу ключевых бизнес-процессов, таких как частные сети 5G.
