Escrito por: Francisco Alejandro Cifuentes Torres-Cyber Soc Expert

TLStorm 2 permitiría a los ciberatacantes ejecutar código remoto de administración sobre los switches Avaya y Aruba, dando acceso a la red y permitiendo movimientos laterales.

Investigadores de la compañía Armis han identificado 5 nuevas vulnerabilidades sobre varios modelos de switches de la marca Aruba y Avaya. Estas vulnerabilidades al ser explotadas en conjunto pueden llevar a la ejecución de código remoto sobre estos elementos de red, al aprovecharse de un fallo en el componente NanoSSL sobre la librería de TLS desarrollada por Mocana.

 

El nombre de este conjunto de vulnerabilidades está asociado a un fallo descubierto en marzo del presente año por esta misma organización (TLStorm), el cual afectaba principalmente a UPS inteligentes haciendo que estas dejaran de funcionar al permitirle al ciberatacante tomar control sin que el usuario final se percate de la intrusión, cabe resaltar que este fallo también fue descubierto sobre la librería anteriormente indicada por lo que los investigadores de Armis lograron rastrear otros sistemas que utilizan las mismas implementaciones pero esta vez sobre equipos de red.

En Aruba esta librería es utilizada en la comunicación del sistema Radius y en el portal captivo lo que resulta en las vulnerabilidades CVE-2022-23677 y CVE-2022-23676. En Avaya, la implementación de la librería causa un heap overflow en el protocolo TLS CVE-2022-29860, un overflow sobre las cabeceras HTTP (CVE-2022- 29861) y un overflow sobre las solicitudes POST.

Como lo presentó en una demo la compañía  Armis (https://www.armis.com/wp- content/uploads/2022/05/ArubaDemo2.mp4), un atacante que tenga acceso a la red mediante un access point que posea un portal captivo (medida de protección de múltiples sistemas de Wifi donde se solicita usuario y contraseña para poder navegar en internet) podría obtener una Shell de administración sobre el sistema vulnerable y realizar modificaciones a sus configuraciones, de manera que se pueda mover libremente por las diferentes redes de la organización atacada.

Dado que las vulnerabilidades residen sobre la librería NanoSSL y aunque las dos compañías afectadas implementan de manera diferente su uso, en ambos casos se le permite al atacante ejecutar un desbordamiento de buffer sobre la cabecera de las peticiones, que a su vez abre la puerta a la ejecución de código.

Dentro de los productos afectados para la entidad Avaya se encuentran ERS3500 Series, ERS3600 Series, ERS4900 Series y ERS5900 Series, por el lado de los elementos de la corporación Aruba los elementos afectados son Aruba 5400R Series, Aruba 3810 Series, Aruba 2920 Series, Aruba 2930F Series, Aruba 2930M Series, Aruba 2530 Series y Aruba 2540 Series.

RECOMENDACIONES

Estas vulnerabilidades fueron notificadas desde hace 3 meses a las dos compañías con el fin que en el momento que esta información se hiciera pública se tuvieran desarrollados los parches adecuados, los cuales, aunque no son públicos, pueden ser solicitados mediante los portales de soporte de las dos entidades. Si identifica que posee alguno de los elementos anteriormente listados, se sugiere contactar de manera inmediata a su proveedor para asegurar que su ambiente no esté siendo vulnerable.

FUENTES

 

Info@etek.com

 

Colombia                                           Perú                                  India

+57 (1) 2571520                    +51 (1) 6124343                +91-9873451221