Армис обнаруживает в «TLStorm 2.0», пять критических уязвимостей в сетевых коммутаторах, по всему миру

0 180

Компания Armis , ведущая платформа для унифицированного мониторинга и безопасности активов, сегодня объявила о раскрытии пяти критических уязвимостей, известных как TLStorm 2.0 , в реализации связи TLS в нескольких моделях сетевые коммутаторы. Уязвимости возникают из-за аналогичного недостатка конструкции, обнаруженного в уязвимостях TLStorm (обнаруженных ранее в этом году компанией Armis), что расширяет охват TLStorm на миллионы дополнительных устройств сетевой инфраструктуры корпоративного уровня.

В марте 2022 г., Армис впервые раскрыл TLStorm — три критические уязвимости в устройствах APC Smart-UPS. Уязвимости позволяют злоумышленнику получить контроль над устройствами Smart-UPS из Интернета без взаимодействия с пользователем, что приводит к перегрузке ИБП и, в конечном итоге, к самоуничтожению в облаке дыма. Основной причиной этих уязвимостей было неправильное использование NanoSSL, популярной библиотеки TLS от Mocana. Используя базу знаний Armis — базу данных, содержащую более двух миллиардов активов, — наши исследователи определили десятки устройств, использующих библиотеку Mocana NanoSSL. Выводы касаются не только устройств APC Smart-UPS, но и двух популярных поставщиков сетевых коммутаторов, которые страдают от аналогичного недостатка реализации библиотеки. Хотя устройства ИБП и сетевые коммутаторы различаются по функциям и уровням доверия в сети,

Новое исследование TLStorm 2.0 выявило уязвимости, которые могут позволить злоумышленнику получить полный контроль над сетевыми коммутаторами, используемыми в аэропортах, больницах, отелях и других организациях по всему миру. Затронутыми поставщиками являются Aruba (приобретена HPE) и Avaya Networking (приобретена ExtremeNetworks). Мы обнаружили, что оба поставщика имеют коммутаторы, уязвимые к уязвимостям удаленного выполнения кода (RCE), которые можно использовать в сети, что приводит к:

Нарушение сегментации сети, позволяющее боковое перемещение к дополнительным устройствам за счет изменения поведения коммутатора.

Эксфильтрация данных корпоративного сетевого трафика или конфиденциальной информации из внутренней сети в Интернет

Побег из захваченного портала

Эти результаты исследований важны, поскольку они подчеркивают, что сама сетевая инфраструктура подвержена риску и может быть использована злоумышленниками, а это означает, что одной лишь сегментации сети уже недостаточно в качестве меры безопасности.

«Исследования в Armis преследуют одну простую цель: выявить возникающие угрозы безопасности, чтобы обеспечить нашим клиентам непрерывную защиту в режиме реального времени», — сказал Барак Хадад , руководитель отдела исследований Armis. «Набор уязвимостей TLStorm является ярким примером угроз для активов, которые ранее были невидимы для большинства решений по обеспечению безопасности, и показывает, что сегментация сети больше не является достаточным средством смягчения последствий, и необходим упреждающий мониторинг сети. Исследователи Armis продолжат исследовать активы во всех средах, чтобы наша база знаний, насчитывающая более двух миллиардов активов, делилась последними мерами по снижению угроз со всеми нашими партнерами и клиентами».

Захватывающие порталы

Портал авторизации — это веб-страница, отображаемая для новых пользователей Wi-Fi или проводной сети, прежде чем им будет предоставлен более широкий доступ к сетевым ресурсам. Captive-порталы обычно используются для предоставления страницы входа, которая может потребовать аутентификации, оплаты или других действительных учетных данных, которые согласованы как хостом, так и пользователем. Captive-порталы обеспечивают доступ к широкому спектру услуг мобильного и пешеходного широкополосного доступа, включая кабельные и коммерчески предоставляемые Wi-Fi и домашние точки доступа, а также корпоративные или жилые проводные сети, такие как жилые комплексы, гостиничные номера и бизнес-центры.

Используя уязвимости TLStorm 2.0, злоумышленник может злоупотребить авторизованным порталом и получить удаленное выполнение кода через коммутатор без необходимости аутентификации. Как только злоумышленник получает контроль над коммутатором, он может полностью отключить портал авторизации и перейти в корпоративную сеть.

Сведения об уязвимостях и уязвимых устройствах

Аруба

CVE- 2022-23677 (оценка CVSS 9,0) — неправильное использование NanoSSL на нескольких интерфейсах (RCE)

Упомянутая выше библиотека NanoSSL используется во всем микропрограммном обеспечении коммутаторов Aruba для различных целей. Два основных варианта использования, для которых TLS-соединение, выполненное с использованием библиотеки NanoSSL, не является безопасным и может привести к RCE:

Портал авторизации — пользователь портала авторизации может получить управление коммутатором до аутентификации.

Клиент проверки подлинности RADIUS. Уязвимость в обработке соединения RADIUS может позволить злоумышленнику, способному перехватить соединение RADIUS с помощью атаки «человек посередине», получить RCE через коммутатор без взаимодействия с пользователем.

CVE- 2022-23676 (оценка CVSS 9,1) — уязвимости клиента RADIUS, приводящие к повреждению памяти

RADIUS — это клиент-серверный протокол аутентификации, авторизации и учета (AAA), который обеспечивает централизованную аутентификацию для пользователей, пытающихся получить доступ к сетевому сервису. Сервер RADIUS отвечает на запросы доступа от сетевых служб, которые действуют как клиенты. Сервер RADIUS проверяет информацию в запросе на доступ и отвечает авторизацией попытки доступа, отказом или запросом на получение дополнительной информации.

В клиентской реализации коммутатора RADIUS есть две уязвимости, связанные с повреждением памяти; они приводят к переполнению кучи контролируемых злоумышленником данных. Это может позволить злонамеренному серверу RADIUS или злоумышленнику, имеющему доступ к общему секрету RADIUS, удаленно выполнить код на коммутаторе.

Устройства Aruba , затронутые TLStorm 2.0:

Серия Аруба 5400R

Серия Аруба 3810

Серия Аруба 2920

Серия Аруба 2930F

Серия Аруба 2930M

Серия Аруба 2530

Серия Аруба 2540

Уязвимости перед аутентификацией в интерфейсе управления Avaya

Поверхностью атаки для всех трех уязвимостей коммутаторов Avaya является веб-портал управления, и ни одна из уязвимостей не требует какой-либо аутентификации, что делает эту группу уязвимостей нулевым щелчком мыши.

CVE- 2022-29860 (CVSS 9.8) — переполнение кучи повторной сборки TLS

Эта уязвимость аналогична CVE- 2022-22805, которую Армис обнаружил в устройствах APC Smart-UPS. Процесс, обрабатывающий запросы POST на веб-сервере, неправильно проверяет возвращаемые значения NanoSSL, что приводит к переполнению динамической памяти, что может привести к удаленному выполнению кода.

CVE- 2022-29861 (CVSS 9.8) — переполнение стека при синтаксическом анализе заголовков HTTP

Неправильная проверка границ при обработке данных составной формы в сочетании со строкой, которая не завершается нулем, приводит к контролируемому злоумышленником переполнению стека, что может привести к RCE.

HTTP-запрос POST, обрабатывающий переполнение кучи

Уязвимость в обработке HTTP-запросов POST из-за отсутствия проверки ошибок в библиотеке Mocana NanoSSL приводит к переполнению кучи контролируемой злоумышленником длины, что может привести к RCE. У этой уязвимости нет CVE, потому что она была обнаружена в линейке продуктов Avaya, снятых с производства, а это означает, что патч для исправления этой уязвимости выпущен не будет, хотя данные Armis показывают, что эти устройства все еще можно найти в дикой природе.

Устройства Avaya, затронутые TLstorm 2.0:

Серия ERS3500

Серия ERS3600

Серия ERS4900

Серия ERS5900

Обновления и смягчения последствий

Aruba и Avaya сотрудничали с Armis по этому вопросу, и клиенты были уведомлены и выпустили исправления для устранения большинства уязвимостей. Насколько нам известно, нет никаких указаний на то, что уязвимости TLStorm 2.0 были использованы.

Организации, развертывающие затронутые устройства Aruba , должны немедленно исправить затронутые устройства с помощью исправлений на портале поддержки Aruba здесь .

Организации, развертывающие затронутые устройства Avaya, должны немедленно ознакомиться с рекомендациями по безопасности на портале поддержки Avaya здесь .

Клиенты Armis могут немедленно определить уязвимые устройства в своей среде и приступить к их устранению.

Реакция на пуск "Орешника"
  • pretty
  • Сегодня 07:00
  • В топе

Австрийский журналист Крис Вебер: Россия запускает неядерную межконтинентальную баллистическую ракету в качестве предупреждения о недопустимости дальнейшей эскалации.Фракция поджигателей войны го...

Двести Хиросим

Новая вундерваффе прилетела в завод Южмаш. Это шесть раздельных блоков по шесть боеголовок в каждом - хотя, поговаривают, их может быть и 8х8, что зависит от конфигурации и задач. Пока ...