Aeropuertos, hospitales, hoteles y más necesitan desplegar parches para los fallos de secuestro.
Cinco vulnerabilidades críticas de ejecución remota de código en millones de dispositivos de Aruba y Avaya pueden ser aprovechadas por los ciberdelincuentes para hacerse con el control total de los conmutadores de red utilizados habitualmente en aeropuertos, hospitales y hoteles, según los investigadores de Armis.
La empresa de seguridad descubrió los fallos, denominados colectivamente TLStorm 2.0, y dijo que se derivan de inseguridades en NanoSSL, una biblioteca TLS desarrollada por Mocana que se utiliza en los equipos de red vulnerables.
“Algunas de las vulnerabilidades pueden activarse sin autenticación, sin interacción del usuario, y por eso son tan graves”, dijo a The Register el jefe de investigación de Armis, Barak Hadad.
Se dice que los fallos afectan a unos 10 millones de dispositivos de la cartera de conmutación Aruba de HPE y Avaya de Extreme Networks, y tienen puntuaciones de gravedad que van de 9,0 a 9,8 sobre 10. Si se explotan, los malhechores pueden abusar de estas vulnerabilidades para cambiar el comportamiento de un conmutador, desplazarse lateralmente a otros dispositivos, robar potencialmente datos corporativos, etc.
Los investigadores de seguridad de Armis no tienen constancia de que se haya producido ninguna vulnerabilidad, y han trabajado rápidamente con ambos proveedores para desarrollar correcciones de software para los fallos.
TLStorm 2.0 es la continuación del descubrimiento y el parcheado de TLStorm: tres vulnerabilidades críticas que se dice que están presentes en millones de productos APC Smart-UPS de Schneider Electric. Armis reveló públicamente esa familia de vulnerabilidades el mes pasado. Además de las actividades nefastas habituales, como la exfiltración de datos sensibles de los dispositivos conectados o el despliegue de malware en la red, la explotación de TLStorm en los SAI de APC podría provocar cortes de energía.
Además de los nombrados hasta ahora, Hadad espera encontrar más dispositivos vulnerables que dependan de NanoSSL.
“Sabemos que Avaya, Aruba y APC son vulnerables. Y hemos estado trabajando con ellos para asegurarnos de que sus dispositivos no sean vulnerables en el futuro”, dijo. “Pero estoy bastante seguro de que hay otros proveedores que son vulnerables a esto”.
Explotar los portales cautivos
Los portales cautivos son las páginas web que suele ver la primera vez que intenta conectarse a una red Wi-Fi o por cable en un aeropuerto, hotel, hospital, centro de negocios, etc. Pueden requerir autenticación, pago o algún tipo de acuerdo de usuario antes de proporcionar acceso a Internet y otros servicios.
Cuando el equipo de red vulnerable utiliza NanoSSL para presentar un portal cautivo, los delincuentes pueden explotar las vulnerabilidades de TLStorm 2.0 para obtener la ejecución remota de código, sin necesidad de autenticación. Y una vez que controlan ese hardware de conmutación, pueden desactivar el portal cautivo, así como explorar la red en busca de sistemas que atacar, explicó Hadad.
Una de las vulnerabilidades de Aruba, CVE-2022-23677, que recibió una puntuación CVSS de 9,0 sobre 10, se debe a una debilidad en NanoSSL que puede ser explotada a través de un portal cautivo. Un segundo fallo de Aruba, CVE-2022-23676, es una vulnerabilidad de corrupción de memoria del cliente RADIUS; es posible desbordar la memoria de montón a través de este fallo para lograr la ejecución de código remoto. Ha recibido una puntuación CVSS de 9,1. RADIUS es un protocolo cliente-servidor de autenticación, autorización y contabilidad que puede utilizarse para obtener acceso a un servicio de red.
Los dispositivos Aruba afectados por TLStorm 2.0 son:
- Aruba 5400R Series
- Aruba 3810 Series
- Aruba 2920 Series
- Aruba 2930F Series
- Aruba 2930M Series
- Aruba 2530 Series
- Aruba 2540 Series
Las organizaciones que despliegan productos vulnerables de Aruba deben parchear los dispositivos afectados inmediatamente.
Vulnerabilidades Avaya pre-auth
Mientras tanto, la superficie de ataque para los conmutadores de Avaya es el portal de gestión web, y ninguna de sus tres vulnerabilidades requiere ningún tipo de autenticación para ser explotada.
“Se trata de vulnerabilidades de cero clics que pueden explotarse a través de la red sin interacción del usuario”, dijo Hadad.
CVE-2022-29860, que recibió una puntuación CVSS de 9,8, es un desbordamiento de heap de reensamblaje TLS que puede conducir a la ejecución remota de código. Se produce porque el proceso que gestiona las solicitudes POST en el servidor web no valida correctamente los valores de retorno de NanoSSL.
El segundo fallo crítico de Avaya, CVE-2022-29861, puede provocar un desbordamiento de pila durante el análisis de la cabecera HTTP, que puede ser explotado para ejecutar código malicioso arbitrario de forma remota en el conmutador. Esta vulnerabilidad, que también recibió una puntuación CVSS de 9,8, se debe a una “comprobación de límites inadecuada en el manejo de datos de formulario multiparte combinados con una cadena que no está terminada en cero”, explicó Armis.
Y, por último, la tercera vulnerabilidad de Avaya se produce en la gestión de las solicitudes HTTP POST. La biblioteca NanoSSL no realiza una comprobación de errores, lo que conduce a un desbordamiento de la pila explotable. Esta no tiene un CVE porque ocurre en una línea de productos de Avaya descontinuada. Como está descontinuada, Avaya no emitirá un parche, y Armis dice que estos dispositivos se siguen utilizando.
Los dispositivos de Avaya afectados por TLStorm 2.0 incluyen:
- ERS3500 Series
- ERS3600 Series
- ERS4900 Series
- ERS5900 Series
Las organizaciones pueden consultar la página de avisos de seguridad de Extreme para obtener más información sobre los parches para los dispositivos Avaya afectados.
Traducido de: theregister.com