Les chercheurs en cybersécurité ont détaillé jusqu’à cinq failles de sécurité graves dans la mise en œuvre du protocole TLS dans plusieurs modèles de commutateurs réseau Aruba et Avaya qui pourraient être utilisées à mauvais escient pour accéder à distance aux réseaux d’entreprise et voler des informations précieuses.
Les conclusions font suite à la divulgation en mars de TLStorm, un ensemble de trois failles critiques dans les appareils APC Smart-UPS qui pourraient permettre à un attaquant de prendre le contrôle et, pire, d’endommager physiquement les appareils.
La société de sécurité IoT Armis, qui a découvert les lacunes, a noté que les défauts de conception peuvent être attribués à une source commune : une mauvaise utilisation de NanoSSLune suite de développement SSL basée sur des normes de Mocana, une filiale de DigiCert.
Le nouvel ensemble de défauts, surnommé TLStorm 2.0rend les commutateurs réseau Aruba et Avaya vulnérables aux vulnérabilités d’exécution de code à distance, permettant à un adversaire de réquisitionner les appareils, de se déplacer latéralement sur le réseau et d’exfiltrer des données sensibles.
Les appareils concernés incluent les séries Avaya ERS3500, ERS3600, ERS4900 et ERS5900 ainsi que les séries Aruba 5400R, 3810, 2920, 2930F, 2930M, 2530 et 2540.
Armis a attribué les failles à un « cas marginal », un non-respect des directives relatives à la bibliothèque NanoSSL qui pourrait entraîner l’exécution de code à distance. La liste des bogues d’exécution de code à distance est la suivante –
- CVE-2022-23676 (score CVSS : 9,1) – Deux vulnérabilités de corruption de mémoire dans le RAYON implémentation client des commutateurs Aruba
- CVE-2022-23677 (Score CVSS : 9,0) – Utilisation abusive de NanoSSL sur plusieurs interfaces dans les commutateurs Aruba
- CVE-2022-29860 (Score CVSS : 9,8) – Vulnérabilité de débordement de tas de réassemblage TLS dans les commutateurs Avaya
- CVE-2022-29861 (Score CVSS : 9,8) – Vulnérabilité de débordement de pile d’analyse d’en-tête HTTP dans les commutateurs Avaya
- Vulnérabilité de débordement de tas de gestion des requêtes HTTP POST dans une gamme de produits Avaya abandonnée (pas de CVE)
« Ces résultats de recherche sont importants car ils soulignent que l’infrastructure réseau elle-même est à risque et exploitable par des attaquants, ce qui signifie que la segmentation du réseau à elle seule n’est plus suffisante comme mesure de sécurité », a déclaré Barak Hadad, responsable de la recherche en ingénierie chez Armis.
Il est fortement recommandé aux organisations qui déploient des appareils Avaya et Aruba concernés d’appliquer les correctifs pour atténuer toute tentative d’exploitation potentielle.