ببین، یه خبر حسابی داغ دارم مخصوص کسایی که از دستگاههای وایفای Aruba Instant On استفاده میکنن؛ مخصوصاً کسبوکارهای کوچیک که دنبال اینترنت سریع و بیدردسر هستن. اچپیای (HPE) که یکی از غولهای تکنولوژی دنیاست، یه سری باگ خیلی خفن توی سختافزارهای وایفای Aruba پیدا کرده که اگه جدیش نگیرید واقعاً ممکنه دردسر درست شه!
ماجرای اول اینه که توی فرمور (همون نرمافزار داخلی دستگاه)، یه اسمکاربری و رمز عبور ثابت (یا همون hardcoded credentials) جاسازی شده بود، که یعنی همه کسایی که این اطلاعات رو میدونستن، میتونستن خیلی راحت بپرن وسط و مثل یه ادمین واقعی به کل دستگاه دسترسی پیدا کنن! 😳 وقتی این دسترسی رو داشته باشن، نهتنها تو تنظیماتتون دست میبرن، بلکه میتونن انواع بدافزار (malware یعنی نرمافزارهای مخرب که میتونن سیستم رو آلوده کنن یا اطلاعات رو بدزدن) روش اجرا کنن و خلاصه کل شبکهتون رو به هم بریزن!
این باگ، که با کد CVE-2025-37103 شناخته میشه، امتیاز خطرش 9.8 از 10 هست! یعنی رسماً فاجعه محسوب میشه و طبق گفته HPE، اگه هکری بلد باشه، خیلی راحت هم پیداش میکنه، هم سوءاستفاده میکنه. تازه این موضوع زیاد هم جدید نیست؛ خیلی وقتها برنامهنویسا موقع تولید دستگاهها یه اکانت ویژه ادمین میذارن که خودشون راحتتر بتونن کار کنن – اما باید این رمز رو قبل رسیدن محصول به دست مشتری پاک کنن. وقتی تیم امنیتی نرمافزار (حتماً شنیدین؛ همونا که بهشون میگن DevSecOps یا Application Security Team یعنی بچههایی که فقط دنبال یافتن ضعفهای امنیتی تو برنامهنویسی هستن) قضیه رو چک نکنن، همچین سوتیهایی رخ میده!
یکی دیگه از مشکلات خطرناک که همین حالا پچ (patch یعنی آپدیت امنساز) شده، یه باگ دیگهست به اسم CVE-2025-37102. این یکی هم خیلی حیلهگره: اجازه میده هکرهایی که دسترسی نسبی ادمین دارن، از طریق رابط دستوری (Command Line Interface که همون پنل خط فرمانه) هر دستوری دلشون خواست رو تو سطح سیستمی اجرا کنن! یعنی اگه یه نفر کمی مهارتش بالا باشه، واقعاً هر کاری بخواد با دستگاه انجام بده – امتیاز خطر این باگ هم شده 7.2 از 10 که بازم عددیه برای نگرانی شدید.
حالا نکته مهم: واسه هیچکدوم از این دوتا باگ، حقه و راه میانبر و راهحل موقت (بهش میگن workaround یعنی یه رفع مشکل موقت که تا زمان اصلی درست کار کنه) وجود نداره! فقط و فقط باید دستگاه رو آپدیت کنین تا این آسیبپذیریها پاک شه. HPE هم شدیداً توصیه کرده هرچه سریعتر پچ امنیتی جدید رو نصب کنین و نذارین شبکهتون به خطر بیفته.
Aruba Instant On رو اگه نمیدونین چیه، همون مودمهای وایفای باحال و شیکیه که برای شرکتها و کارگاههای کوچیک درست شده تا بدون دردسر نصب، به یه شبکه امن و سریع وصل بشن. ولی همونطور که دیدین، امنیتشون به اندازه آپدیت آخرشونه؛ پس اگه این دستگاه رو دارین یا تو شرکتتون هست، سریع آپدیتش کنین. امنیت یعنی خیالت راحت باشه که کسی غیرخودی نیاد سر بزنه!
اگه دوست دارین اطلاعات بیشتری در مورد امنیت و حتی بهترین برنامههای مدیریت رمز عبور یا نرمافزارهای احراز هویت داشته باشین، تو سایتای TechRadar و BleepingComputer کلی مقاله خفن پیدا میکنین. فقط فراموش نکنید: پچ، پچ، پچ! 😀
منبع: +
