Hasta ocho de cada 10 empresas podrían estar en riesgo debido a cinco vulnerabilidades recientemente reveladas en conmutadores de comunicaciones ampliamente utilizados.
Se ha descubierto que las fallas en la implementación de las comunicaciones de seguridad de la capa de transporte (TLS) dejan una serie de conmutadores de uso común construidos por Aruba, propiedad de HP, y Avaya, propiedad de Extreme Networks, en riesgo de ejecución remota de código (RCE).
Descubierto por Armis, el conjunto de vulnerabilidades para Aruba incluye el uso indebido de NanoSSL en múltiples interfaces (CVE-2022-23677) y vulnerabilidades de corrupción de la memoria del cliente Radius (CVE-2022-23676), mientras que para Avaya incluye el desbordamiento del montón de reensamblaje de TLS (CVE-2022). -29860) y desbordamiento de pila de análisis de encabezado HTTP (CVE-2022-29861).
Se encontró una vulnerabilidad adicional para Avaya en el manejo de solicitudes HTTP POST, pero no tiene identificador CVE porque se encontró en una línea de productos descontinuada, lo que significa que no se emitirá ningún parche a pesar de que los datos de Armis muestran que estos dispositivos aún se pueden encontrar en la naturaleza. .
Según datos de Armis, casi ocho de cada 10 empresas están expuestas a estas vulnerabilidades.
El descubrimiento de las vulnerabilidades se produce a raíz de las divulgaciones de TLStorm en marzo de 2022, y se denominaron TLStorm 2.0.
Como referencia, el apodo TLStorm original se aplicó a un conjunto de vulnerabilidades críticas en los dispositivos APC Smart-UPS y permitió a un atacante tomar el control de ellos desde Internet sin interacción del usuario mediante el uso indebido de la biblioteca NanoSSL TLS de Mocana.
Dichos incidentes se están generalizando cada vez más, y se podría decir que la divulgación reciente más famosa es Log4Shell.
Ahora, utilizando su propia base de datos de miles de millones de dispositivos y perfiles de dispositivos, los investigadores de Armis afirman que han encontrado docenas de dispositivos más que usan la biblioteca Mocana NanoSSL, y que tanto los dispositivos de Aruba como los de Avaya están en riesgo de uso indebido de dicha biblioteca. Esto surge porque la lógica de unión, el código que vincula la lógica del proveedor y la biblioteca de NanoSSL, no sigue las pautas del manual de NanoSSL.
El jefe de investigación de Armis, Barak Hadad, dijo que aunque estaba claro que casi todo el software se basa en algún grado en bibliotecas externas, estas bibliotecas siempre presentarán algún grado de riesgo para el software de alojamiento. En este caso, Hadad dijo que el manual Mocana NanoSSL claramente no ha sido seguido correctamente por múltiples proveedores.
“El manual establece claramente la limpieza adecuada en caso de error de conexión, pero ya hemos visto que varios proveedores no manejan los errores correctamente, lo que da como resultado errores de corrupción de memoria o confusión de estado”, escribió Hadad en un blog de divulgación publicado el 3 de mayo de 2022.
Dijo que la explotación de estas vulnerabilidades podría permitir a los atacantes salir de la segmentación de la red y lograr un movimiento lateral a dispositivos adicionales al cambiar el comportamiento del conmutador vulnerable, lo que lleva a la filtración de datos del tráfico de la red o información confidencial y al escape del portal cautivo.
Hadad advirtió que TLStorm 2.0 podría ser especialmente peligroso para cualquier organización o instalación que opere un servicio Wi-Fi gratuito, como aeropuertos, establecimientos hoteleros y minoristas.
“Estos resultados de la investigación son significativos, ya que destacan que la infraestructura de la red en sí misma está en riesgo y es explotable por los atacantes, lo que significa que la segmentación de la red ya no puede actuar como una medida de seguridad suficiente”, escribió.
En términos de mitigaciones, Armis dijo que las organizaciones que implementan dispositivos Aruba afectados deben parchearlos de inmediato a través del Portal de soporte de Aruba, mientras que aquellos que implementan dispositivos Avaya afectados deben consultar los avisos de seguridad de inmediato en el Portal de soporte de Avaya.
Además de las mitigaciones de proveedores específicos, también se pueden aplicar múltiples capas de protección de red para mitigar el riesgo, incluida la supervisión de la red y la limitación de la superficie de ataque, por ejemplo, al bloquear la exposición del portal de administración a los puertos de la red de invitados.
Los dispositivos afectados para Aruba son la serie 5400R, la serie 3810, la serie 2920, la serie 2930F, la serie 2930M, la serie 2530 y la serie 2540; los dispositivos de Avaya afectados son la serie ERS3500, la serie ERS3600, la serie ERS4900 y la serie ERS5900.
Todas las vulnerabilidades han sido notificadas a los proveedores pertinentes, que trabajaron con Armis para emitir parches que abordan la mayoría de los problemas.