Des vulnérabilités de sécurité critiques dans la mise en œuvre du cryptage TLS dans une multitude de commutateurs réseau populaires ont mis en danger des millions d’appareils déployés dans des environnements d’entreprise et d’infrastructures critiques.
Les chercheurs en sécurité ont mis au jour cinq vulnérabilités d’exécution de code à distance (RCE) affectant divers appareils Aruba et Avaya qui pourraient entraîner l’exfiltration du trafic réseau ou d’informations sensibles, ainsi que la rupture de la segmentation du réseau et le mouvement latéral vers des appareils supplémentaires.
Les modèles vulnérables sont déployés dans une variété de contextes, y compris les aéroports, les hôpitaux et les hôtels.
Les chercheurs de la société de sécurité IoT Armis ont déclaré n’avoir trouvé aucune indication que les vulnérabilités aient été exploitées.
Brassage TLStorm
collectivement surnommé ‘TLStorm 2.0‘, les failles proviennent de l’utilisation abusive de la bibliothèque NanoSSL TLS de Mocana, qui expliquait trois autres vulnérabilités dans d’autres périphériques réseau documentées par Armis il y a quelques semaines.
Divulguées en mars, les failles « TLStorm 1.0 » pourraient permettre aux attaquants de causer des dommages physiques aux appareils APC Smart-UPS de Schneider Electric, qui fournissent une alimentation de secours d’urgence aux appareils réseau, ainsi qu’aux appareils connectés.
A NE PAS MANQUER Un bogue de sécurité dans VMWare Workspace ONE pourrait permettre l’accès aux réseaux cloud internes
Plusieurs modèles de commutateurs Aruba – séries 5400R, 3810, 2920, 2930F, 2930M, 2530, 2540 – seraient vulnérables à deux des derniers défauts.
Suivi en tant que CVE-2022-23677 et avec un score CVSS presque maximal de 9,0, un problème RCE résulte de connexions TLS mal gérées sur le client d’authentification RADIUS et le portail captif, une page Web de connexion régissant l’accès aux ressources réseau.
Par conséquent, un attaquant pourrait potentiellement intercepter la connexion RADIUS via une attaque Manipulator-in-the-middle (MitM) pour obtenir un RCE sur le commutateur sans interaction de l’utilisateur.
Avec un CVSS de 9.1, CVE-2022-23676 concerne deux vulnérabilités de corruption de mémoire dans le client RADIUS qui entraînent des débordements de tas de données contrôlées par l’attaquant.
Les trois autres vulnérabilités RCE sont des problèmes « sans clic » affectant le portail de gestion Web des séries Avaya ERS3500, ERS3600, ERS4900 et ERS5900.
Ils incluent une paire de problèmes classés CVSS-9.8, notamment un débordement de tas (CVE-2022-29860) et un débordement de pile (CVE-2022-29861).
La troisième faille, un autre problème de débordement de tas, affecte une gamme de produits Avaya abandonnée et ne sera donc pas corrigée, bien que les données montrent prétendument que ces appareils peuvent encore être trouvés dans la nature, d’après Armis.
Correctifs et atténuations
La plupart des vulnérabilités ont été corrigées, a déclaré Armis. Un porte-parole de HPE, propriétaire d’Aruba, a déclaré au Daily Swig :
« HPE est conscient de ce problème, qui affecte un nombre limité de modèles de commutateurs et de versions de micrologiciel, et travaille sur une mise à jour du micrologiciel pour y remédier. Dans l’intervalle, nous conseillons aux clients utilisant les produits concernés de mettre en place des contrôles de pare-feu pour se protéger. Nous n’avons connaissance d’aucune exploitation de cette vulnérabilité impliquant des clients Aruba.
« Pour plus d’informations, veuillez consulter le conseil en sécurité.”
La gorgée quotidienne a également invité les chercheurs d’Avaya à commenter. Nous mettrons à jour cette histoire s’ils répondent.
« Encore à trouver »
Barak Hadad, responsable de la recherche à Armis, a déclaré La gorgée quotidienne qu’il était à noter que les développeurs de trois fournisseurs, « travaillant sur des bases de code complètement différentes, ont fait la même erreur » en implémentant NanoSSL de manière incorrecte.
« Nous pensons qu’il reste encore à trouver d’autres appareils qui abusent de la bibliothèque NanoSSL de la même manière. »
Il a ajouté que les failles de TLStorm 2.0 contredisent la croyance largement répandue selon laquelle la segmentation du réseau est « un mécanisme de sécurité à toute épreuve ».
Les chercheurs d’Armis discuteront des vulnérabilités de TLStorm à Black Hat Asia 2022 la semaine prochaine.