В устройствах HPE Instant On обнаружены жестко заданные учетные данные, позволяющие получить доступ администратора

HPE выпустила исправления для двух критических уязвимостей в своих Instant On Access Points, которые могли позволить злоумышленникам легко войти в учетные записи администраторов и выполнять команды, как если бы они владели устройством. Если вы используете эти устройства, сейчас самое время обновиться, прежде чем кто-то другой решит взять контроль.

Первая уязвимость — это классический случай жестко заданных учетных данных — цифровой эквивалент оставления ключей под ковриком. Эти учетные данные администратора по умолчанию могли дать злоумышленникам полный доступ к интерфейсу управления устройством, без необходимости навыков взлома.

Вторая уязвимость — это уязвимость внедрения команд, где злоумышленники могли незаметно внедрить вредоносные команды в процесс обновления прошивки устройства. Это могло позволить им выполнять произвольный код на устройстве, потенциально захватывая всю сеть.

HPE выпустила обновления прошивки для устранения этих брешей в безопасности. Компания не обнаружила никаких свидетельств эксплуатации этих уязвимостей в дикой природе, но с публикацией деталей, это лишь вопрос времени, когда кто-то попытается.

Если вы управляете HPE Instant On Access Points, проверьте версии вашей прошивки и немедленно обновитесь. В мире кибербезопасности быть проактивным — единственный способ оставаться на шаг впереди плохих парней.