Cybersecurity-onderzoekers hebben maar liefst vijf ernstige beveiligingsfouten in de implementatie van het TLS-protocol in verschillende modellen van Aruba- en Avaya-netwerkswitches beschreven die kunnen worden misbruikt om externe toegang tot bedrijfsnetwerken te krijgen en waardevolle informatie te stelen.
De bevindingen volgen op de onthulling in maart van TLStorm, een set van drie kritieke fouten in APC Smart-UPS-apparaten die een aanvaller in staat zouden kunnen stellen de controle over te nemen en, erger nog, de apparaten fysiek te beschadigen.
IoT-beveiligingsbedrijf Armis, dat de tekortkomingen ontdekte, merkte op dat de ontwerpfouten terug te voeren zijn op een gemeenschappelijke bron: een misbruik van NanoSSLeen op standaarden gebaseerde SSL-ontwikkelaarssuite van Mocana, een dochteronderneming van DigiCert.
De nieuwe reeks gebreken, genaamd TLStorm 2.0maakt Aruba- en Avaya-netwerkswitches kwetsbaar voor kwetsbaarheden voor het uitvoeren van code op afstand, waardoor een tegenstander de apparaten kan overnemen, zijwaarts over het netwerk kan bewegen en gevoelige gegevens kan exfiltreren.
Betreffende apparaten zijn de Avaya ERS3500-serie, ERS3600-serie, ERS4900-serie en ERS5900-serie, evenals Aruba 5400R-serie, 3810-serie, 2920-serie, 2930F-serie, 2930M-serie, 2530-serie en 2540-serie.
Armis schreef de fouten toe aan een “edge case”, een niet-naleving van richtlijnen met betrekking tot de NanoSSL-bibliotheek die zou kunnen leiden tot uitvoering van externe code. De lijst met bugs is als volgt:
- CVE-2022-23676 (CVSS-score: 9,1) – Twee kwetsbaarheden voor geheugenbeschadiging in de STRAAL klant implementatie van Aruba switches
- CVE-2022-23677 (CVSS score: 9.0) – NanoSSL misbruik op meerdere interfaces in Aruba switches
- CVE-2022-29860 (CVSS-score: 9,8) – TLS hermontage heap overflow-kwetsbaarheid in Avaya-switches
- CVE-2022-29861 (CVSS-score: 9,8) – HTTP-header parsing stack overflow kwetsbaarheid in Avaya-switches
- HTTP POST-verzoek afhandeling heap overflow-kwetsbaarheid in een beëindigde Avaya-productlijn (geen CVE)
Nog zorgwekkender zijn de kwetsbaarheden in Avaya-switches: nul-klikwat betekent dat ze kunnen worden geactiveerd via niet-geverifieerde netwerkpakketten zonder tussenkomst van de gebruiker.
“Deze onderzoeksresultaten zijn belangrijk omdat ze benadrukken dat de netwerkinfrastructuur zelf gevaar loopt en kan worden misbruikt door aanvallers, wat betekent dat netwerksegmentatie alleen niet langer voldoende is als beveiligingsmaatregel”, zegt Barak Hadad, hoofd research in engineering bij Armis.
Organisaties die getroffen Avaya- en Aruba-apparaten inzetten, wordt ten zeerste aanbevolen om de patches toe te passen om mogelijke misbruikpogingen te verminderen.
