Skip to content

HPE Aruba : quatre CVE sur Instant On et Private 5G Core (AVI-0846)

Le CERT-FR publie l'avis 0846 (8 juillet) sur quatre vulnérabilités des switches Instant On 1830/1930/1960 et de Private 5G Core : DNS, confidentialité, contournement de politique.

Publié le 4 min de lecture

Le CERT-FR a publié le 8 juillet 2026 l'avis CERTFR-2026-AVI-0846 couvrant multiples vulnérabilités dans les produits HPE Aruba Networking. Quatre CVE — CVE-2026-39803, CVE-2026-39806, CVE-2026-40912, CVE-2026-44877 — sont traitées par deux bulletins publiés par HPE le 7 juillet : HPESBNW05038 et HPESBNW05077. Les impacts déclarés par l'éditeur sont déni de service à distance, atteinte à la confidentialité des données et contournement de la politique de sécurité.

Périmètres concernés

Deux gammes distinctes sont ciblées par les bulletins amont HPE :

  • HPE Networking Instant On Switch 1830, 1930 et 1960 — versions antérieures à 3.4.0. Ce sont les gammes « managed cloud » qu'HPE positionne sur PME et sites distants (agences bancaires, écoles, cabinets, points de vente). Le pilotage se fait via le portail Instant On, ce qui signifie que l'authentification et la configuration transitent par un plan de contrôle exposé.
  • HPE Aruba Networking Private 5G Core — versions antérieures à 1.26.1.1. Produit d'infrastructure privée 5G, déployé chez des opérateurs industriels et des collectivités qui exploitent leur propre réseau cellulaire (sites logistiques, ports, campus).

Les deux gammes n'ont pas la même population de déploiement en France, mais elles partagent un défaut structurel : dans les deux cas, les correctifs sont livrés par le canal éditeur, pas par le portail cloud de management. Sur Instant On, une mise à jour reste une action à déclencher côté administrateur — l'auto-upgrade n'est pas la valeur par défaut sur toutes les branches.

Statut de l'exploitation

Ni l'avis CERT-FR ni les bulletins HPE HPESBNW05038 et HPESBNW05077 ne mentionnent d'exploitation active. Aucun PoC public n'est référencé au moment de la publication, et aucun acteur nommé n'a été rattaché à ces CVE.

Cela ne signifie pas que la surface est confidentielle : la fingerprint web des switches Instant On est publique et indexable, et les portails d'administration sont régulièrement scannés par les crawlers opportunistes. Un DoS non authentifié sur un switch en périmètre PME est le type de bug que les campagnes d'extorsion opportuniste industrialisent en quelques jours dès qu'un PoC circule.

Que faire

  1. Inventoriez le parc concerné. Les switches Instant On 1830, 1930 et 1960 se reconnaissent au portail cloud éponyme (instanton.hpe.com) ; les déploiements Private 5G Core sont plus rares et généralement documentés dans le CMDB de la DSI. Si vous exploitez plusieurs sites, le premier tri se fait par sérigraphie et modèle sur la base d'inventaire — pas par le portail cloud, qui peut être en retard d'une resynchronisation.
  2. Mettez à jour vers 3.4.0 sur les Instant On (via le portail Instant On) et 1.26.1.1 sur Private 5G Core (via le canal HPE support). La cadence des mises à jour Instant On est publiée par HPE ; ne repoussez pas au « prochain créneau maintenance » un correctif qui traite un DoS non authentifié.
  3. Vérifiez que le firmware appliqué est bien la version corrigée, pas celle recommandée par défaut. Un switch remis à zéro rebascule parfois sur un firmware d'usine antérieur au correctif — c'est le vecteur oublié classique après un remplacement de matériel.
  4. Segmentez le plan de management. Le portail d'administration Instant On ne doit pas être accessible depuis les VLAN utilisateurs. Sur Private 5G Core, l'interface d'administration doit être derrière un bastion, pas exposée sur les interfaces de service. C'est un principe général qui limite l'impact réel des CVE de cette classe même quand vous ne pouvez pas patcher immédiatement.
  5. Journalisez les redémarrages non planifiés sur ces équipements. Un DoS déclenché à distance laisse une trace évidente dans les journaux de disponibilité ; si vous ne collectez pas ces événements dans votre SIEM, un exploit peut passer pour une instabilité matérielle.

Contexte

C'est le troisième avis CERT-FR sur HPE Aruba Networking en un peu plus de six mois. La note CERTFR-2026-AVI-0262 (février 2026) et CERTFR-2026-AVI-0750 (juin 2026) ont chacune traité un lot distinct de CVE sur les branches AOS-CX et Private 5G Core. La cadence reflète le cycle d'audit interne HPE, mais aussi une réalité opérationnelle : l'écosystème Aruba concentre du switching d'entreprise, du réseau industriel et du cellulaire privé sur des bases de code qui évoluent à des rythmes différents, ce qui multiplie mécaniquement le nombre de bulletins par trimestre.

Dans la même série d'avis du 7 et 8 juillet, le CERT-FR a également couvert Foxit PDF Reader et Editor (CERTFR-2026-AVI-0845) et Joomla! (CERTFR-2026-AVI-0847). Pour les DSI qui centralisent la revue CERT-FR, AVI-0846 est celui qui touche le plus directement l'infrastructure — les deux autres visent des couches applicatives dont la remédiation reste plus classique.

Articles liés