Hewlett-Packard Enterprise (HPE) ha lanzado una actualización urgente para corregir dos vulnerabilidades críticas en sus Access Points Instant On, dispositivos ampliamente utilizados en redes empresariales y domésticas. La más grave, CVE-2025-37103, con puntuación CVSS 9.8, permite eludir la autenticación gracias a credenciales codificadas en el firmware.
🔥 Detalles de las Vulnerabilidades
-
CVE-2025-37103 (CVSS 9.8):
-
Riesgo: Acceso administrativo no autenticado debido a credenciales hardcodeadas.
-
Impacto: Control total del dispositivo, modificación de configuraciones y escalada de ataques en la red.
-
-
CVE-2025-37102 (CVSS 7.2):
-
Riesgo: Inyección de comandos en la interfaz CLI (requiere acceso previo).
-
Explotación en cadena: Combinada con CVE-2025-37103, permite ejecutar código arbitrario con privilegios elevados.
-
🛠️ Dispositivos Afectados y Solución
-
Modelos vulnerables: Access Points Instant On con firmware anterior a la versión 3.2.1.0.
-
Parche: HPE ya liberó la actualización 3.2.1.0, que elimina las credenciales fijas y corrige la inyección de comandos.
Pasos críticos:
-
Verificar la versión del firmware en el panel de administración.
-
Descargar e instalar 3.2.1.0 desde el sitio oficial de HPE.
-
Cambiar contraseñas predeterminadas y habilitar autenticación multifactor (MFA) si está disponible.
🔍 Contexto y Descubrimiento
-
Investigador: Reportado por ZZ de Ubisectech Sirius bajo divulgación responsable.
-
Explotación activa: No se han detectado ataques, pero el riesgo es inminente por la facilidad de explotación.
📌 Recomendaciones de Seguridad
-
Actualizaciones inmediatas: Priorizar la aplicación del parche.
-
Auditoría de red: Buscar dispositivos no actualizados o accesos sospechosos.
-
Segmentación de red: Limitar el acceso lateral entre dispositivos.
«Credenciales codificadas son un error evitable que sigue apareciendo en dispositivos críticos. Actualizar no es opcional, es obligatorio» — Equipo de Ciberseguridad de HPE.
