hpe aos-cx'te kritik açık, admin şifresini sıfırlayabiliyorsunuz

Posted on 15 Mar 2026

arkadaşlar, hpe’nin aos-cx switch’lerinde çok ciddi bir açık bulunmuş. CVE-2025-22204 numaralı bu zafiyet, uzaktan ve kimlik doğrulaması olmadan admin şifresini sıfırlamanıza izin veriyor. yani ağa erişiminiz varsa, hop admin şifresini değiştirip cihaza el koyabiliyorsunuz.

cvss skoru 9.8, yani kritik seviyede bir açık 🔴. hpe acil yama yayınladı, hemen atlayın yamalara.

ne oluyor tam olarak?

bu CVE-2025-22204 açığı, aos-cx işletim sistemindeki bir kimlik doğrulama bypass zafiyeti. şöyle ki:

  • saldırgan, switch’e ağ üzerinden erişebiliyorsa (authentication gerekmeden)
  • mevcut kimlik doğrulama kontrollerini atlayabiliyor
  • admin şifresini sıfırlayıp cihazı ele geçirebiliyor

yani klasik “authentication bypass” dedikleri şey ama sonuçları ağır. bir kere içeri girdikten sonra zaten oyun bitti, tüm ağ trafiğinizi görebilir, yönlendirebilir, hatta fidye yazılımı saldırısı için zemin hazırlayabilir.

spoiler: henüz aktif sömürü rapor edilmemiş ama bu tür açıklar çok hızlı silahlanıyor, beklemeyin.

etkilenen sistemler

hpe aos-cx işletim sisteminin belirli versiyonları etkileniyor:

SistemEtkilenen VersiyonlarDurum
HPE AOS-CX10.13.x (10.13.1010 ve altı)✅ Etkileniyor
HPE AOS-CX10.14.x (10.14.0210 ve altı)✅ Etkileniyor
HPE AOS-CX10.15.x (10.15.0002 ve altı)✅ Etkileniyor
Diğer HPE ürünleri-❌ Etkilenmiyor

aos-cx kullanan 6200, 6300, 6400, 8xxx, 9xxx ve 10xxx serisi switch’ler risk altında.

hemen yapmanız gerekenler

1. versiyonunuzu kontrol edin

önce hangi versiyonda olduğunuzu öğrenin:

# switch'e ssh ile bağlanın
ssh admin@switch-ip

# versiyon kontrolü
show version

# ya da
show system

2. yamalı versiyona güncelleyin

hpe şu versiyonlara güncelleme yapmanızı istiyor:

# etkilenen versiyon → yamalı versiyon
10.13.x → 10.13.1020 veya üzeri
10.14.x → 10.14.0220 veya üzeri  
10.15.x → 10.15.0010 veya üzeri

güncelleme adımları:

# 1. yeni firmware'i hpe support'tan indirin
# https://support.hpe.com/connect/s/

# 2. switch'e yükleyin (tftp/sftp ile)
copy sftp://server/path/aos-cx-firmware.swi primary

# 3. boot image'ı ayarlayın
boot system primary

# 4. yedek alın (önemli!)
copy running-config backup-config

# 5. reboot edin
boot system

dikkat: üretim ortamında reboot etmeden önce değişiklik pencerenizi ayarlayın. switch’ler reboot olunca ağ kesilir, bunu unutmayın.

3. logları kontrol edin

geçmişte şüpheli aktivite olup olmadığına bakın:

# authentication loglarını inceleyin
show logging -r | include authentication
show logging -r | include password

# admin hesabında yapılan değişiklikleri kontrol edin
show running-config | include user

eğer admin şifresinde beklenmeyen bir değişiklik görürseniz, zaten sömürülmüş olabilirsiniz. o zaman incident response prosedürünü başlatın.

geçici çözümler (yamayı hemen uygulayamayanlar için)

eğer hemen güncelleme yapamıyorsanız, şu önlemleri alın:

1. management erişimini kısıtlayın

# sadece güvenli ip'lerden erişime izin verin
https-server vrf mgmt
https-server access-list mgmt-acl

# acl oluşturun
access-list ip mgmt-acl
    10 permit tcp 10.0.0.0/8 any eq https
    20 permit tcp 192.168.1.0/24 any eq https
    30 deny any any

2. management interface’i izole edin

  • management portunu ayrı bir vlan’a alın
  • sadece jump host’lardan erişim verin
  • vpn arkasına saklayın

3. monitoring’i artırın

# syslog'u merkezi sunucuya gönderin
logging 10.0.0.100

# authentication başarısızlıklarını logla
logging level authentication info

ek öneriler

agalar, bu açık çok ciddi. şunları da yapın:

  1. admin şifrelerini değiştirin: yamadan sonra bile, tüm admin şifrelerini yenileyin. kim bilir, belki çoktan değiştirilmiştir.

  2. mfa aktif edin: aos-cx tacacs+ veya radius ile mfa destekliyor. aktif edin bunu:

# radius ile mfa
aaa authentication login default group radius local
radius-server host 10.0.0.50 key secretkey123

  1. firmware’i güncel tutun: bu tür açıklar sürekli bulunuyor. otomatik güncelleme politikası oluşturun.

  2. segmentasyon: management network’ünüzü production’dan ayırın. vlan, acl, firewall ne varsa kullanın.

edit: hpe’nin security advisory’sinde başka detaylar da var, mutlaka okuyun.

kaynaklar

son söz: arkadaşlar bu açık çok kritik, hemen yamalayın. switch’ler ağınızın omurgası, burası ele geçirilirse zaten her şey gitti demektir. test ortamında deneyin, sonra üretimde uygulayın. yedek almayı unutmayın, sonra “switch boot olmadı” diye ağlamayın.

iyi yamalar 🔧

Bu içerik yapay zeka tarafından oluşturulmuştur.