Серьёзная уязвимость, обнаруженная в корпоративном решении HPE Aruba Networking Private 5G Core On-Prem, создаёт критическую угрозу для сетей предприятий, позволяя злоумышленникам незаметно перехватывать логины и пароли привилегированных пользователей. Инцидент затрагивает инфраструктуру, развернутую на площадках заказчиков, и подчеркивает риски, связанные с атаками на системы аутентификации даже в изолированных, локальных средах.
Уязвимость CVE-2026-23818
Проблема задокументирована в бюллетене безопасности HPESBNW05032EN_US и получила идентификатор CVE-2026-23818. Её корень кроется в так называемой уязвимости "открытого перенаправления" (open redirect), встроенной в архитектуру процесса входа в графический интерфейс управления платформой. Подобные недостатки возникают, когда веб-приложение некорректно проверяет входные данные пользователя, которые определяют, куда браузер должен перенаправить его после выполнения какого-либо действия, например, авторизации. В случае с HPE Aruba Private 5G Core On-Prem система недостаточно "очищает" эти параметры перенаправления в ходе процесса аутентификации, что создаёт легко эксплуатируемую лазейку.
Механизм атаки строится на классической схеме фишинга, усиленной технической уязвимостью. Для успешной эксплуатации CVE-2026-23818 злоумышленнику необходимо обманом заставить уже аутентифицированного пользователя, например, сетевого администратора, перейти по специально сформированной вредоносной ссылке. После клика система обрабатывает стандартный поток входа, однако затем незаметно для жертвы перенаправляет браузер на внешний сервер, контролируемый атакующим. На этом сервере размещена фишинговая страница, тщательно имитирующая легитимный интерфейс входа HPE Aruba 5G Core.
Когда ничего не подозревающая жертва повторно вводит свои учетные данные на этой поддельной странице, они в полном объёме перехватываются злоумышленником. Чтобы скрыть факт компрометации, вредоносный сайт затем мгновенно перенаправляет пользователя обратно на настоящую страницу входа HPE. Такой бесшовный переход делает кражу учётных данных крайне сложной для обнаружения без специализированных инструментов мониторинга сетевой активности или внимательного анализа адресной строки браузера. В результате злоумышленник получает полный доступ к управлению критически важной инфраструктурой частной сети 5G, что может привести к её полному контролю, остановке работы, утечке передаваемых данных или использованию в качестве плацдарма для атак вглубь корпоративной сети.
Данный инцидент наглядно демонстрирует, как относительно простая уязвимость на стыке веб-безопасности может быть использована для компрометации сложных, изолированных систем. Он также подчёркивает важность защиты от атак класса "человек посередине" (Man-in-the-Middle, MitM) и социальной инженерии даже в средах с физическим контролем над инфраструктурой.
Организациям, использующим затронутые версии ПО HPE Aruba Networking Private 5G Core On-Prem, необходимо незамедлительно обратиться к официальному бюллетеню безопасности и установить предоставленные вендором патчи, устраняющие проблему открытого перенаправления. Однако, помимо оперативного обновления ПО, смягчить риски позволяют и превентивные меры. Командам безопасности (SOC) рекомендуется ужесточить фильтрацию входящей электронной почты и настроить продвинутые веб-фильтры для перехвата специально сформированных URL, используемых в подобных атаках. Не менее важным является обучение персонала, особенно администраторов, распознаванию целевых фишинговых атак, которые могут включать неожиданные запросы повторного ввода логина или странное поведение браузера при перенаправлениях. В конечном счёте, защита от таких гибридных угроз требует сочетания своевременного управления уязвимостями, технических средств контроля и повышения цифровой грамотности пользователей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-23818
- https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw05032en_us&docLocale=en_US
