Network Performance Monitoring (NPM) and Diagnostics | Application Performance Monitoring (APM) | Application-Aware Network Performance Monitoring (AA NPM) | Network Fault Management | Information Security | Network Security

TLStorm 2.0 — новые уязвимости коммутаторов Aruba и Avaya

Специалисты компании Armis, развивая свою платформу мониторинга и обеспечения безопасности оборудования обнаружили пять новых эксплойтов в сетевых коммутаторах Aruba и Avaya. Система Armis выявила в нескольких моделях сетевых коммутаторов пять критических уязвимостей, известных как TLStorm 2.0. Эти уязвимости похожи на TLStorm (обнаруженные компанией Armis ранее в этом году) и возникают из-за недостатков конструкции обоорудования, что расширяет охват TLStorm до миллионов устройств сетевой инфраструктуры корпоративного уровня.

В марте 2022 года компания Armis впервые сообщила о TLStorm — трех критических уязвимостях в устройствах APC Smart-UPS. Уязвимости позволяют злоумышленнику получить контроль над устройствами Smart-UPS из сети Интернет без какого-либо взаимодействия с пользователем, что приводит к перегрузке ИБП и, в конечном итоге, к его самоуничтожению. Основной причиной этих уязвимостей было неправильное использование NanoSSL, популярной библиотеки TLS от Mocana. Используя информационные ресурсы Armis (базы данных, содержащие информацию о юлее чем двух миллиардов устройств), исследователи выявили десятки устройств, использующих библиотеку Mocana NanoSSL. Полученные сведения касаются не только устройств APC Smart-UPS, но и двух популярных производителей сетевых коммутаторов, оборудование которых имеет аналогичный недостаток реализации библиотеки. Разумеется ИБП и сетевые коммутаторы различаются по функциям и уровню доверия в сети, однако основные проблемы реализации TLS допускают то, что в компании Armis назали «разрушительными последствиями».

Новое исследование TLStorm 2.0 выявило уязвимости, которые способны позволить злоумышленнику получить полный контроль над сетевыми коммутаторами крупных предприятий по всему миру. Аэропорты, больницы, отели и другие объекты, в чьих корпоративных сетях используются коммутаторы Aruba (приобретена HPE) и Avaya Networking (приобретена ExtremeNetworks) подвержены уязвимостям удаленного выполнения кода (RCE). Злонамеренные действия с использованием таких уязвимостей могут привести к серьезным проблемам:

  • нарушение сегментации сети, позволяющее маршрутизацию на дополнительные устройства путем изменения поведения коммутатора;
  • эксфильтрация данных из внутренней сети в Интернет.
  • Ускользание вредоносных команд из перехватывающего портала.

В компании Armis утверждают, что результаты этих исследований подчеркивают угрозу сетевой инфраструктуре со стороны злоумышленников. Это, в свою очередь, означает, что в качестве меры безопасности одной сегментации сети уже недостаточно.

Барак Хадад, руководитель отдела исследований компании Armis, сказал: «Набор уязвимостей TLStorm является ярким примером угроз, которые ранее не были видны большинству решений безопасности. Он демонстрирует, что сегментация сети больше не является достаточным средством смягчения последствий, а важное значение имеет проактивный мониторинг сети. Исследователи компании Armis продолжат изучать оборудование во всех окружениях, чтобы убедиться, что наша база знаний, насчитывающая данные о более двух миллиардов устройств, предоставляет всем нашим партнерам и клиентам новейшие инструменты для снижения угроз».

Перехватывающие порталы

Перехватывающий портал — это веб-страница, отображаемая для вновь подключившихся пользователей сети (Wi-Fi или кабельной), прежде чем им будет предоставлен более широкий доступ к сетевым ресурсам. Подобные порталы обычно используются для предоставления страницы входа, которая может потребовать аутентификации, оплаты или других действий, согласованных как с хостом, так и пользователем. Порталы обеспечивают доступ к широкому спектру мобильных и проводных сетей, включая точки доступа Wi-Fi и кабельные сети промышленных предприятий и офисов, гостиниц и бизнес-центров, жилых комплексов и отдельных домохозяйств.

Используя уязвимости TLStorm 2.0, злоумышленник может злонамеренно использовать перехватывающий портал и получить возможность удаленного выполнения кода через коммутатор без необходимости аутентификации. Как только злоумышленник получит контроль над коммутатором, он сможет полностью отключить перехватывающий портал и проникнуть в корпоративную сеть.

Сведения об уязвимостях и уязвимых устройствах

Aruba CVE-2022-23677 (9,0 балла CVSS) — неправильное использование NanoSSL на нескольких интерфейсах (RCE). Упомянутая выше библиотека NanoSSL используется в прошивках коммутаторов для различных целей. Два основных варианта использования, для которых TLS-соединение, выполненное с использованием библиотеки NanoSSL, не являются безопасными и могут привести к RCE:

  • перехватывающий портал — пользователь портала может получить контроль над коммутатором до аутентификации;
  • уязвимость клиента аутентификации RADIUS - может позволить злоумышленнику, способному перехватить соединение RADIUS с помощью атаки «человек посередине», получить возможность удаленного выполнения кода через коммутатор без взаимодействия с пользователем.

Aruba CVE-2022-23676 (9,1 балла CVSS) — уязвимости, приводящие к нарушению целостности информации в памяти клиента RADIUS. Этот клиент-серверный протокол аутентификации, авторизации и учета (AAA) обеспечивает централизованную аутентификацию пользователей, пытающихся получить доступ к сетевому сервису. Сервер RADIUS отвечает на запросы доступа от сетевых служб, которые действуют как клиенты, проверяет информацию в запросе на доступ и отвечает авторизацией этой попытки доступа, отказом или запросом на получение дополнительной информации.

В клиентской версии коммутатора RADIUS имеются две уязвимости, приводящие к нарушению целостности информации в памяти и переполнению динамически распределяемой области контролируемых злоумышленником данных. Это позволяет злонамеренному серверу RADIUS или злоумышленнику, имеющему доступ к общему секрету RADIUS, удаленно выполнить код на коммутаторе.

Устройства Aruba, затронутые TLStorm 2.0:

  • Серия Aruba 5400R
  • Серия Aruba 3810
  • Серия Aruba 2920
  • Серия Aruba 2930F
  • Серия Aruba 2930M
  • Серия Aruba 2530
  • Серия Aruba 2540

Уязвимости перед аутентификацией в интерфейсе управления Avaya

Ниже представлены три уязвимости коммутаторов Avaya. Областью атаки является портал веб-управления, при этом ни одна из уязвимостей не требует какой-либо аутентификации и не требуюют никаких действий пользователя.

  • CVE-2022-29860 (CVSS 9.8) — переполнение динамически распределяемой области повторного ассемблирования TLS. Эта уязвимость аналогична CVE-2022-22805 в устройствах APC Smart-UPS. Процесс, обрабатывающий запросы POST на веб-сервере, неправильно проверяет возвращаемые значения NanoSSL, что приводит к переполнению динамической памяти, что в свою очередь, допускает удаленное выполнение кода.
  • CVE-2022-29861 (CVSS 9.8) — переполнение стека при анализе заголовков HTTP. Неправильная проверка границ при обработке данных составной формы в сочетании со строкой, которая не завершается нулем, приводит к контролируемому злоумышленником переполнению стека и к удаленному выполнению кода.
  • Переполнение динамически распределяемой области при обработке запроса HTTP POST. Уязвимость в обработке таких запросов из-за отсутствия проверки ошибок в библиотеке Mocana NanoSSL приводит к переполнению динамической памяти и к удаленному выполнению кода. У этой уязвимости нет CVE (распространенные уязвимости и риски) потому что она была обнаружена в линейке продуктов Avaya, снятых с производства. Это означает, что патч для исправления этой уязвимости не будет выпущен, хотя данные Armis показывают, что эти устройства все еще можно встретить в эксплуатации.

Устройства Avaya, затронутые TLstorm 2.0:

  • Серия ERS3500
  • Серия ERS3600
  • Серия ERS4900
  • Серия ERS5900

Обновления и смягчения последствий

Компании Aruba и Avaya сотрудничали с Armis по этому вопросу, их клиенты были уведомлены и получили исправления для устранения большинства уязвимостей. Насколько можно судить по сообщениям в профессиональных сообществах, намеренное использовании уязвимостей TLStorm 2.0 до сих пор не происходило.

По материалам www.itsecurityguru.org, май 2022

 

Комментарии
Тут пока ничего нет, но Вы можете быть первым!
Авторизуйтесь для этого

Рейтинг@Mail.ru © 2015 - 2024 NetworkGuru.ru Использование материалов сайта без согласования запрещено!
Заказать звонок