Armis descobre cinco vulnerabilidades críticas em switches de rede (TLStorm 2.0), que podem afetar organizações em todo o mundo

As vulnerabilidades encontradas em switches de rede amplamente utilizados podem levar os atacantes a ultrapassar características de segurança como a segmentação de rede para ganhar acesso a sistemas críticos.

A Armis, a principal plataforma unificada de visibilidade e segurança de ativos, anunciou hoje a descoberta de cinco vulnerabilidades críticas, conhecidas como TLStorm 2.0, na implementação de comunicações TLS em múltiplos modelos de switches de rede. As vulnerabilidades encontradas provêm de uma falha similar de design que foi identificada nas vulnerabilidades TLStorm (descobertas no início deste ano pela Armis), expandindo o alcance do TLStorm a milhões de dispositivos adicionais de infraestruturas de rede a nível empresarial.

De recordar que, em março de 2022, a Armis descobriu o TLStorm – três vulnerabilidades críticas em dispositivos Smart-UPS da APC. Estas vulnerabilidades permitiam que um hacker pudesse ganhar controlo de dispositivos Smart-UPS através da internet, sem interação do utilizador, resultando na sobrecarga dos UPS e podendo mesmo destruir os dispositivos. A causa principal para estas vulnerabilidades é a utilização indevida do NanoSSL, uma biblioteca popular da TLS, criada pela Mocana. Usando a base de conhecimento da Armis – uma base de dados composta por mais de dois mil milhões de ativos – os investigadores da empresa encontraram dezenas de dispositivos que utilizam a biblioteca NanoSSL da Mocana. As descobertas incluíram não só os Smart-UPS da APC, mas também dois fornecedores populares de switches de rede que estão a ser afetados por uma falha de implementação similar da biblioteca. Enquanto os dispositivos UPS e os switches de rede diferem em função e nível de confiança dentro da organização, os problemas de implementação TLS subjacentes podem levar a consequências devastadoras.

O novo estudo TLStorm 2.0 expõe vulnerabilidades que podem permitir a um atacante assumir o controlo total de switches de rede utilizados em aeroportos, hospitais, hotéis e outras organizações em todo o mundo. Os fornecedores afetados são a Aruba (adquirida pela HP) e a Avaya Networking (adquirida pela ExtremeNetworks). A Armis descobriu que ambos os vendedores têm switches que contêm vulnerabilidades remote code execution (RCE ou execução de código remoto, em tradução livre), que podem ser exploradas através da rede, levando a:

• Quebra da segmentação da rede, permitindo o movimento lateral de dispositivos adicionais ao alterar o comportamento do switch
• Filtragem de dados do tráfego e informação sensível da rede corporativa através da rede interna que se liga à Internet
• Fuga cativa do portal

Os resultados da investigação são significativos visto que salientam que a infraestrutura da rede pode estar em risco e ser explorada por atacantes, levando a que a segmentação da rede não seja suficiente, por si só, como uma medida de segurança.

“A pesquisa feita pela Armis tem um propósito simples: identificar ameaças de segurança emergentes para proporcionar aos nossos clientes uma proteção contínua e em tempo real”, refere Barak Hadad, Head of Research da Armis. “O conjunto de vulnerabilidades TLStorm são um exemplo claro de ameaças a ativos que não costumam estar visíveis para a maior parte das soluções de segurança, mostrando que a segmentação de rede não é já uma mitigação suficiente e que é essencial apostar na monitorização proativa da rede. Os investigadores da Armis vão continuar a explorar os ativos que se encontram em todos os ambientes para ter a certeza de que a nossa base de conhecimento de mais de dois mil milhões de dispositivos está a partilhar as mais recentes mitigações de ameaças de todos os nossos parceiros e clientes”

Portais Cativos

Um portal cativo é uma página web mostrada aos utilizadores recém-ligados a uma rede Wi-Fi ou por cabo, antes de terem um acesso alargado aos recursos da rede. Os portais cativos são geralmente utilizados com a apresentação de uma página de login que poderá necessitar de autenticação, pagamento, ou outras credenciais válidas em que

tanto o anfitrião como o utilizador devem concordar. Os portais cativos garantem o acesso a uma vasta gama de serviços móveis e pedonais de banda larga, incluindo cabo e Wi-Fi fornecidos comercialmente e hotspots residenciais. Também podem proporcionar acesso a ligações de rede empresariais ou residenciais, como complexos de apartamentos, quartos de hotel, e centros de negócios.

Ao utilizar as vulnerabilidades do TLStorm 2.0, um hacker pode atacar o portal cativo e realizar uma execução de código remoto ao switch, sem ser necessária qualquer autenticação. A partir do momento em que o atacante tenha controlo sobre o switch, poderá desativar o portal cativo na totalidade e mover-se lateralmente na rede corporativa.

Informação Técnica

Detalhes da vulnerabilidade e dispositivos afetados

Aruba

• CVE-2022-23677 (9.0 CVSS score) – utilização indevida de NanoSSL em várias superfícies
• A biblioteca NanoSSL mencionada acima é usada através de um firmware dos switches da Aruba com várias utilidades. As duas utilizações mais usadas para que a conexão TLS feita através da biblioteca NanoSSL não seja segura e possa levar a uma execução de código remoto são as seguintes:
• Portal cativo – um utilizador do portal cativo poderá controlar o switch antes de se autenticar
• Cliente de autenticação RADIUS – Uma vulnerabilidade na gestão da conexão RADIUS pode permitir que um atacante seja capaz de intercetar a ligação RADIUS através de um homem no centro do ataque para realizar uma execução por código remoto sobre o switch, sem interação do utilizador.
• CVE-2022-23676 (9.1 CVSS score) – Vulnerabilidades de corrupção na memória do cliente RADIUS
• RADIUS é um protocolo cliente/servidor de autenticação, autorização e contabilização que permite uma autenticação central para os utilizadores que tentem aceder ao serviço da rede. O servidor RADIUS responde a pedidos de acesso a serviços de redes que atuam como clientes. O servidor RADIUS analisa a informação no pedido de acesso e responde com a autorização à tentativa de acesso, rejeita a mesma ou pede mais informação
• Há duas vulnerabilidades de corrupção de memória na implementação do programa da RADIUS no switch, que podem levar a um excesso de dados controlados pelos atacantes. Isto pode levar à criação de um servidor RADIUS malicioso, ou um atacante poderá ter acesso ao segredo partilhado da RADIUS, permitindo assim realizar um ataque por execução remota de código.

Dispositivos Aruba afetados pelo TLStorm 2.0:

• Aruba 5400R Series
• Aruba 3810 Series
• Aruba 2920 Series
• Aruba 2930F Series
• Aruba 2930M Series
• Aruba 2530 Series

Vulnerabilidades de gestão de interface pré-autenticação da Avaya

A superfície de ataque para as três vulnerabilidades dos switches da Avaya estão no portal de gestão da Internet e nenhuma das vulnerabilidades necessita de qualquer tipo de autenticação, tornando-se num grupo de vulnerabilidades sem qualquer clique.

• CVE-2022-29860 (CVSS 9.8) – Sobrecarga TLS reassembly heap overflow
• Esta é uma vulnerabilidade similar à CVE-2022-22895 que a Armis encontrou nos dispositivos Smart-UPS da APC. O processo que gere os pedidos POST do servidor não valida devidamente os valores reproduzidos pela NanoSSL, resultando numa sobreposição da pilha que pode levar a uma execução por código remoto.
• CVE-2022-29861 (CVSS 9.8) – cabeçalho HTTP com sobrecarga em parsing
• Uma pesquisa de limites imprópria na gestão de dados de formulários com múltiplas partes, combinada com um string que não seja terminada em nulo pode levar a uma sobrecarga controlada por um atacante que poderá levar a uma execução por código remoto.
• HTTP POST request handling heap overflow
• Uma vulnerabilidade na gestão dos pedidos de HTTP Post devido a uma falha na localização de erros na biblioteca NanoSSL da Mocana pode levar a uma sobrecarga da pilha com um controlo do atacante, o que pode levar a uma execução por código remoto. Esta vulnerabilidade não tem CVE (lista de vulnerabilidades e erros) definida porque foi encontrada numa linha de produtos descontinuada da Avaya, o que quer dizer que não será realizado um patch para corrigir esta vulnerabilidade, apesar dos dados da Armis revelarem que estes dispositivos ainda podem ser encontrados no mundo.

Dispositivos Avaya afetados pelo TLStorm 2.0:

• ERS3500 Series
• ERS3600 Series
• ERS4900 Series
• ERS5900 Series

Atualizações e Mitigações

Tanto a Aruba como a Avaya estão a colaborar com a Armis nesta situação, e os clientes foram notificados e foram criadas patches para dar resposta à maior parte das vulnerabilidades. Tanto quanto é do conhecimento da Armis, não existe indicação dos que as vulnerabilidades TLStorm 2.0 tenham sido exploradas.

As organizações que tenham dispositivos Aruba que estejam a ser impactados devem realizar a atualização nestes aparelhos de imediato, com os patches que se encontram no Portal de Suporte da Aruba, aqui.

As organizações que têm dispositivos Avaya que podem ser alvo destas vulnerabilidades devem consultar os avisos de segurança no Portal de Suporte da Avaya, aqui.