Phantom Redirect : Comment une faille furtive dans HPE Aruba 5G ouvre la porte aux voleurs d’identifiants

Dans l’univers obscur des menaces informatiques en entreprise, les portes les plus dangereuses ne sont parfois pas forcées : elles restent simplement entrouvertes. Cette semaine, des chercheurs en sécurité ont tiré la sonnette d’alarme concernant une vulnérabilité subtile mais grave dans Aruba Networking Private 5G Core On-Prem de HPE, révélant une faille qui pourrait permettre à des attaquants de contourner les défenses et de dérober les identifiants administrateur avec rien de plus qu’un e-mail convaincant et un lien malveillant.

La vulnérabilité, officiellement cataloguée sous le nom CVE-2026-23818, provient d’un problème classique mais souvent négligé appelé « redirection ouverte ». En substance, l’interface de connexion d’Aruba Private 5G Core On-Prem ne valide pas correctement les requêtes de redirection. Cette négligence permet aux attaquants de créer des URL qui, une fois cliquées par un utilisateur authentifié, redirigent le processus de connexion vers n’importe quelle destination web choisie par l’attaquant.

Voici comment l’attaque se déroule : un acteur malveillant envoie un message d’apparence légitime à un administrateur réseau, l’incitant à cliquer sur un lien déguisé. Ce lien lance ce qui semble être une séquence de connexion standard, mais détourne discrètement l’utilisateur vers une fausse page de connexion hébergée sur le serveur de l’attaquant. Cette page est une réplique quasi parfaite du véritable portail de connexion HPE Aruba. Lorsque l’administrateur, sans méfiance, saisit ses identifiants, l’attaquant les récupère instantanément. Pour ne pas éveiller de soupçons, la fausse page redirige rapidement la victime vers le site authentique, rendant la compromission presque invisible.

Ce type de vol d’identifiants sans friction est particulièrement dangereux en environnement d’entreprise, où un seul compte administrateur compromis peut mettre en péril des réseaux sensibles. Le recours des attaquants à l’ingénierie sociale - tromper les utilisateurs pour qu’ils cliquent sur un lien - signifie que les défenses techniques seules ne suffisent pas. Bien que HPE ait publié des correctifs et des recommandations, le risque réel persiste tant que les organisations n’ont pas à la fois mis à jour leurs systèmes et formé leur personnel à reconnaître les signes subtils du phishing, comme des demandes de connexion inattendues ou des redirections inhabituelles du navigateur.

Aruba Private 5G Core est présenté comme une solution sécurisée, sur site, pour connecter les infrastructures critiques des entreprises. Pourtant, comme le montre cet incident, même les plateformes les plus robustes peuvent être compromises par une petite faille architecturale. Les équipes de sécurité sont invitées à consulter le bulletin officiel de HPE, à déployer sans délai les derniers correctifs et à renforcer leurs filtres de sécurité pour les e-mails et le web. À une époque où les attaquants exploitent la moindre faille, la vigilance et la défense en profondeur restent la meilleure protection.

Alors que les frontières entre réseaux physiques et numériques s’estompent, la bataille pour la sécurité des entreprises se joue sur de multiples fronts. Parfois, la différence entre sécurité et compromission ne tient qu’à une redirection mal placée - nous rappelant qu’en cybersécurité, le diable se cache toujours dans les détails.

WIKICROOK

• Redirection ouverte : La redirection ouverte est une vulnérabilité où les attaquants trompent les utilisateurs pour qu’ils visitent des sites malveillants en exploitant des redirections non validées dans des applications web de confiance.
• Collecte d’identifiants : La collecte d’identifiants est le vol de données de connexion, telles que noms d’utilisateur et mots de passe, souvent via de faux sites web ou des e-mails trompeurs.
• Phishing : Le phishing est une cybercriminalité où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
• Sur l’appareil : Le traitement sur l’appareil signifie que les données sont traitées localement sur votre appareil, sans être envoyées à des serveurs externes, ce qui améliore la confidentialité et la sécurité.
• Correctif de sécurité : Un correctif de sécurité est une mise à jour qui corrige des vulnérabilités logicielles, protégeant les appareils et systèmes contre les menaces et attaques connues.