TLStorm 2.0 — новые уязвимости коммутаторов Aruba и Avaya
Специалисты компании Armis, развивая свою платформу мониторинга и обеспечения безопасности оборудования обнаружили пять новых эксплойтов в сетевых коммутаторах Aruba и Avaya. Система Armis выявила в нескольких моделях сетевых коммутаторов пять критических уязвимостей, известных как TLStorm 2.0. Эти уязвимости похожи на TLStorm (обнаруженные компанией Armis ранее в этом году) и возникают из-за недостатков конструкции обоорудования, что расширяет охват TLStorm до миллионов устройств сетевой инфраструктуры корпоративного уровня.
В марте 2022 года компания Armis впервые сообщила о TLStorm — трех критических уязвимостях в устройствах APC Smart-UPS. Уязвимости позволяют злоумышленнику получить контроль над устройствами Smart-UPS из сети Интернет без какого-либо взаимодействия с пользователем, что приводит к перегрузке ИБП и, в конечном итоге, к его самоуничтожению. Основной причиной этих уязвимостей было неправильное использование NanoSSL, популярной библиотеки TLS от Mocana. Используя информационные ресурсы Armis (базы данных, содержащие информацию о юлее чем двух миллиардов устройств), исследователи выявили десятки устройств, использующих библиотеку Mocana NanoSSL. Полученные сведения касаются не только устройств APC Smart-UPS, но и двух популярных производителей сетевых коммутаторов, оборудование которых имеет аналогичный недостаток реализации библиотеки. Разумеется ИБП и сетевые коммутаторы различаются по функциям и уровню доверия в сети, однако основные проблемы реализации TLS допускают то, что в компании Armis назали «разрушительными последствиями».
Новое исследование TLStorm 2.0 выявило уязвимости, которые способны позволить злоумышленнику получить полный контроль над сетевыми коммутаторами крупных предприятий по всему миру. Аэропорты, больницы, отели и другие объекты, в чьих корпоративных сетях используются коммутаторы Aruba (приобретена HPE) и Avaya Networking (приобретена ExtremeNetworks) подвержены уязвимостям удаленного выполнения кода (RCE). Злонамеренные действия с использованием таких уязвимостей могут привести к серьезным проблемам:
- нарушение сегментации сети, позволяющее маршрутизацию на дополнительные устройства путем изменения поведения коммутатора;
- эксфильтрация данных из внутренней сети в Интернет.
- Ускользание вредоносных команд из перехватывающего портала.
В компании Armis утверждают, что результаты этих исследований подчеркивают угрозу сетевой инфраструктуре со стороны злоумышленников. Это, в свою очередь, означает, что в качестве меры безопасности одной сегментации сети уже недостаточно.
Барак Хадад, руководитель отдела исследований компании Armis, сказал: «Набор уязвимостей TLStorm является ярким примером угроз, которые ранее не были видны большинству решений безопасности. Он демонстрирует, что сегментация сети больше не является достаточным средством смягчения последствий, а важное значение имеет проактивный мониторинг сети. Исследователи компании Armis продолжат изучать оборудование во всех окружениях, чтобы убедиться, что наша база знаний, насчитывающая данные о более двух миллиардов устройств, предоставляет всем нашим партнерам и клиентам новейшие инструменты для снижения угроз».
Перехватывающие порталы
Перехватывающий портал — это веб-страница, отображаемая для вновь подключившихся пользователей сети (Wi-Fi или кабельной), прежде чем им будет предоставлен более широкий доступ к сетевым ресурсам. Подобные порталы обычно используются для предоставления страницы входа, которая может потребовать аутентификации, оплаты или других действий, согласованных как с хостом, так и пользователем. Порталы обеспечивают доступ к широкому спектру мобильных и проводных сетей, включая точки доступа Wi-Fi и кабельные сети промышленных предприятий и офисов, гостиниц и бизнес-центров, жилых комплексов и отдельных домохозяйств.
Используя уязвимости TLStorm 2.0, злоумышленник может злонамеренно использовать перехватывающий портал и получить возможность удаленного выполнения кода через коммутатор без необходимости аутентификации. Как только злоумышленник получит контроль над коммутатором, он сможет полностью отключить перехватывающий портал и проникнуть в корпоративную сеть.
Сведения об уязвимостях и уязвимых устройствах
Aruba CVE-2022-23677 (9,0 балла CVSS) — неправильное использование NanoSSL на нескольких интерфейсах (RCE). Упомянутая выше библиотека NanoSSL используется в прошивках коммутаторов для различных целей. Два основных варианта использования, для которых TLS-соединение, выполненное с использованием библиотеки NanoSSL, не являются безопасными и могут привести к RCE:
- перехватывающий портал — пользователь портала может получить контроль над коммутатором до аутентификации;
- уязвимость клиента аутентификации RADIUS - может позволить злоумышленнику, способному перехватить соединение RADIUS с помощью атаки «человек посередине», получить возможность удаленного выполнения кода через коммутатор без взаимодействия с пользователем.
Aruba CVE-2022-23676 (9,1 балла CVSS) — уязвимости, приводящие к нарушению целостности информации в памяти клиента RADIUS. Этот клиент-серверный протокол аутентификации, авторизации и учета (AAA) обеспечивает централизованную аутентификацию пользователей, пытающихся получить доступ к сетевому сервису. Сервер RADIUS отвечает на запросы доступа от сетевых служб, которые действуют как клиенты, проверяет информацию в запросе на доступ и отвечает авторизацией этой попытки доступа, отказом или запросом на получение дополнительной информации.
В клиентской версии коммутатора RADIUS имеются две уязвимости, приводящие к нарушению целостности информации в памяти и переполнению динамически распределяемой области контролируемых злоумышленником данных. Это позволяет злонамеренному серверу RADIUS или злоумышленнику, имеющему доступ к общему секрету RADIUS, удаленно выполнить код на коммутаторе.
Устройства Aruba, затронутые TLStorm 2.0:
- Серия Aruba 5400R
- Серия Aruba 3810
- Серия Aruba 2920
- Серия Aruba 2930F
- Серия Aruba 2930M
- Серия Aruba 2530
- Серия Aruba 2540
Уязвимости перед аутентификацией в интерфейсе управления Avaya
Ниже представлены три уязвимости коммутаторов Avaya. Областью атаки является портал веб-управления, при этом ни одна из уязвимостей не требует какой-либо аутентификации и не требуюют никаких действий пользователя.
- CVE-2022-29860 (CVSS 9.8) — переполнение динамически распределяемой области повторного ассемблирования TLS. Эта уязвимость аналогична CVE-2022-22805 в устройствах APC Smart-UPS. Процесс, обрабатывающий запросы POST на веб-сервере, неправильно проверяет возвращаемые значения NanoSSL, что приводит к переполнению динамической памяти, что в свою очередь, допускает удаленное выполнение кода.
- CVE-2022-29861 (CVSS 9.8) — переполнение стека при анализе заголовков HTTP. Неправильная проверка границ при обработке данных составной формы в сочетании со строкой, которая не завершается нулем, приводит к контролируемому злоумышленником переполнению стека и к удаленному выполнению кода.
- Переполнение динамически распределяемой области при обработке запроса HTTP POST. Уязвимость в обработке таких запросов из-за отсутствия проверки ошибок в библиотеке Mocana NanoSSL приводит к переполнению динамической памяти и к удаленному выполнению кода. У этой уязвимости нет CVE (распространенные уязвимости и риски) потому что она была обнаружена в линейке продуктов Avaya, снятых с производства. Это означает, что патч для исправления этой уязвимости не будет выпущен, хотя данные Armis показывают, что эти устройства все еще можно встретить в эксплуатации.
Устройства Avaya, затронутые TLstorm 2.0:
- Серия ERS3500
- Серия ERS3600
- Серия ERS4900
- Серия ERS5900
Обновления и смягчения последствий
Компании Aruba и Avaya сотрудничали с Armis по этому вопросу, их клиенты были уведомлены и получили исправления для устранения большинства уязвимостей. Насколько можно судить по сообщениям в профессиональных сообществах, намеренное использовании уязвимостей TLStorm 2.0 до сих пор не происходило.
По материалам www.itsecurityguru.org, май 2022
Авторизуйтесь для этого