Armis’ten siber güvenlik araştırmacıları, Aruba (kurumsal ağ ve güvenlik çözümleri) ve Avaya (bulut iletişimi ve iş akışı işbirliği) tarafından üretilen uç noktalarda beş yüksek önemde güvenlik açığı keşfetti.
Kusurlar 9.0 ve üzeri önem derecesine sahiptir ve havaalanlarında, hastanelerde, otellerde ve diğer benzer mekanlarda yaygın olarak görülen çoklu ağ anahtarlarında bulunabilir.
Toplu olarak, milyonlarca Schneider Electric APC Smart-UPS cihazında keşfedilen bir dizi kritik güvenlik açığı olan TLStorm’un devamı olarak TLStorm 2.0 olarak adlandırıldılar.
NanoSSL
Araştırmacılara göre, ağ donanımındaki kusuru taşıyan, bir TLS kütüphanesi olan NanoSSL’dir. Şu anda 10 milyondan fazla uç nokta kusurlardan etkileniyor ve ciddiyetleri göz önüne alındığında, bu cihazları dağıtan kuruluşlardan yamaları hemen uygulamaları isteniyor.
Diğer şeylerin yanı sıra, kusurlar uzaktan kod yürütülmesine ve veri hırsızlığına izin verir.
Armis’in araştırma başkanı Barak Hadad, “Bazı güvenlik açıkları, kimlik doğrulama veya kullanıcı etkileşimi olmadan tetiklenebilir ve bu yüzden çok ciddiler.” Dedi. Kayıt.
Şimdiye kadar, vahşi doğada kullanılan kusurlara dair herhangi bir rapor yok, ancak şimdi açıkta olduklarından, istismar edilmek zorundalar, bu yüzden düzeltmeyi hemen uygulamak çok önemlidir.
Araştırmacılar ayrıca NanoSSL kullanan diğer satıcıların da başının belada olabileceğine inandıklarını söylediler:
Hadad, “Avaya, Aruba ve APC’nin savunmasız olduğunu biliyoruz. Ve cihazlarının gelecekte savunmasız olmayacağından emin olmak için onlarla birlikte çalışıyoruz” dedi. “Ama buna karşı savunmasız olan başka satıcılar olduğundan oldukça eminim.”
Güvenlik açıkları CVE-2022-23676, CVE-2022-23677, CVE-2022-29860 ve CVE-2022-29861 olarak izlenirken, beşincisi, üretimi durdurulan Avaya ürünlerinde bulunduğundan CVE’ye sahip değil.
Kusurlara karşı savunmasız cihazlar şunları içerir:
Aruba 5400R Serisi
Aruba 3810 Serisi
Aruba 2920 Serisi
Aruba 2930F Serisi
Aruba 2930M Serisi
Aruba 2530 Serisi
Aruba 2540 Serisi
Avaya için bunlar savunmasız cihazlardır:
ERS3500 Serisi
ERS3600 Serisi
ERS4900 Serisi
ERS5900 Serisi
Aracılığıyla: Kayıt