Estas vulnerabilidades encontradas en dispositivos en red ampliamente usados podrían permitir a los atacantes evitar técnicas de seguridad como la segmentación de red para conseguir acceso a sistemas críticos
Armis revela cinco vulnerabilidades críticas, conocidas como TLStorm 2.0, en la implantación de las comunicaciones TLS en múltiples modelos de dispositivos en red. Las vulnerabilidades derivan de un fallo de diseño similar identificado en las vulnerabilidades de TLStorm (descubiertas por Armis a principios de este año), expandiendo el alcance de TLStorm a millones de dispositivos adicionales de infraestructura de red de nivel empresarial.
En marzo de 2022, Armis reveló TLStorm – tres vulnerabilidades en dispositivos APC Smart-UPS. Las vulnerabilidades permiten a los atacantes conseguir el control de dispositivos Smart-UPS desde Internet y sin interacción del usuario, lo que provoca que el UPS se sobrecargue y acabe destruyéndose en una nube de humo. El origen de estas vulnerabilidades es un mal uso de NanoSSL, una popular biblioteca TLS de Mocana. Usando la base de conocimiento de Armis – una base de datos de más de dos mil millones de activos – nuestros investigadores identificaron docenas de dispositivos usando la biblioteca Mocana NanoSSL. Los hallazgos incluyen no solo los dispositivos APC Smart-UPS sino también dos populares proveedores de conmutadores de red que se ven afectados por un defecto de implementación similar de la biblioteca. Mientras los dispositivos UPS y los conmutadores de red difieren en función y niveles de confianza dentro de la red, los problemas subyacentes de implementación de TLS provocan consecuencias devastadoras.
La nueva investigación TLStorm 2.0 expone vulnerabilidades que podrían permitir a un atacante tomar el control total sobre conmutadores en red utilizados en aeropuertos, hospitales, hoteles y otras organizaciones a nivel mundial. Los proveedores afectados son Aruba (adquirido por HPE) y Avaya Networking (adquirido por ExtremeNetworks). Hemos encontrado que ambos proveedores tienen conmutadores débiles a vulnerabilidades de ejecución remota de código (RCE) que pueden ser explotadas a través de la red. Esto conlleva:
- Romper la segmentación de la red, permitiendo el movimiento lateral a dispositivos adicionales cambiando el comportamiento del conmutador.
- Fuga de datos del tráfico de la red corporativa o de información sensible de la red interna a Internet
- Fuga de portales cautivos
Estos descubrimientos son significativos en cuanto subrayan que la infraestructura de red en sí mismo está en riesgo y los atacantes pueden usarlos, lo que significa que la segmentación red por sí mismo ya no es suficiente como una medida de seguridad.
“La investigación en Armis está guiada por un simple propósito: identificar amenazas de seguridad emergentes para proveer a nuestros consumidores con protección continua y en tiempo real” afirma Barak Hadad, jefe de investigación de Armis. “El conjunto de vulnerabilidades de TLStorm es un excelente ejemplo de las amenazas a los activos que antes no eran visibles para la mayoría de las soluciones de seguridad, lo que demuestra que la segmentación de la red ya no es una amortiguación suficiente y que la supervisión proactiva de la red es esencial. Los investigadores de Armis continuarán explorando los activos en todos los entornos para asegurarse de que nuestra base de conocimientos de más de dos mil millones de activos comparte las últimas soluciones de amenazas a todos nuestros socios y clientes”.
Portales cautivos
Un portal cautivo es una página web que se muestra a los usuarios recién conectados a una red Wi-Fi antes de que se les conceda un acceso más amplio a los recursos de la red. Los portales cautivos son comúnmente utilizados para presentar una página de registro que puede requerir identificación, pago u otras credenciales válidas que tanto el creador como el usuario acuerden. Los portales cautivos proporcionan acceso a una amplia gama de servicios de banda ancha, incluidos el cable y los puntos de acceso domésticos y de Wi-Fi proporcionados por comercios. También se utilizan en las redes por cable de empresas y hogares, así como en complejos de apartamentos, habitaciones de hotel y centros de negocios.
Utilizando las vulnerabilidades de TLStorm 2.0, un atacante puede abusar del portal cautivo y obtener la ejecución remota de código sobre el conmutador sin necesidad de autenticación. Una vez que el atacante tiene el control del conmutador, puede desactivar el portal cautivo por completo y moverse lateralmente a la red corporativa.
Detalles de vulnerabilidades y dispositivos afectados
Aruba
- CVE-2022-23677 (puntuación CVSS de 9,0): Uso indebido de NanoSSL en múltiples interfaces (RCE).
- La biblioteca NanoSSL mencionada anteriormente se utiliza en todo el firmware de los conmutadores Aruba para múltiples propósitos. Los dos principales casos de uso para los que la conexión TLS realizada mediante la biblioteca NanoSSL no es segura y puede conducir a RCE:
- Portal cautivo – Un usuario del portal cautivo puede tomar el control del conmutador antes de la autenticación.
- Cliente de autenticación RADIUS – Una vulnerabilidad en el manejo de la conexión RADIUS podría permitir a un atacante que es capaz de interceptar la conexión RADIUS a través de un ataque Man-In-The-Middle para obtener RCE sobre el conmutador sin interacción del usuario.
- La biblioteca NanoSSL mencionada anteriormente se utiliza en todo el firmware de los conmutadores Aruba para múltiples propósitos. Los dos principales casos de uso para los que la conexión TLS realizada mediante la biblioteca NanoSSL no es segura y puede conducir a RCE:
- CVE-2022-23676 (puntuación CVSS de 9,1): vulnerabilidades de corrupción de memoria del cliente RADIUS.
- RADIUS es un protocolo cliente/servidor de autenticación, autorización y contabilidad (AAA) que permite la autenticación central de los usuarios que intentan acceder a un servicio de red. El servidor RADIUS responde a las solicitudes de acceso de los servicios de red que actúan como clientes. El servidor RADIUS comprueba la información de la solicitud de acceso y responde con la autorización del intento de acceso, un rechazo o una solicitud de más información.
- Hay dos vulnerabilidades de corrupción de memoria en la implementación del cliente RADIUS del conmutador y conducen a desbordamientos de la pila de datos controlados por el atacante. Esto puede permitir que un servidor RADIUS malicioso, o un atacante con acceso al secreto compartido de RADIUS, ejecute código de forma remota en el conmutador.
Los dispositivos de Aruba afectados por TLStorm 2.0 son:
- Aruba 5400R Series
- Aruba 3810 Series
- Aruba 2920 Series
- Aruba 2930F Series
- Aruba 2930M Series
- Aruba 2530 Series
- Aruba 2540 Series
Vulnerabilidades de la interfaz de gestión de Avaya
La superficie de ataque para las tres vulnerabilidades de los conmutadores de Avaya es el portal de gestión web y ninguna de las vulnerabilidades requiere ningún tipo de autenticación, por lo que se trata de un grupo de vulnerabilidad de cero clics.
- CVE-2022-29860 (CVSS 9.8) – Desbordamiento de montículo en el reensamblaje de TLS
- Se trata de una vulnerabilidad similar a la CVE-2022-22805 que Armis encontró en los dispositivos Smart-UPS de APC. El proceso que gestiona las solicitudes POST en el servidor web no valida correctamente los valores de retorno de NanoSSL, lo que da lugar a un desbordamiento de montículo que puede conducir a la ejecución remota de código.
- CVE-2022-29861 (CVSS 9.8) – Desbordamiento de pila en el análisis de encabezados HTTP
- Una comprobación de límites inadecuada en el manejo de datos de formularios, combinada con una cadena que no está terminada en cero, conduce a un desbordamiento de pila controlado por el atacante que puede conducir a un RCE.
- Desbordamiento de la petición HTTP POST
- Una vulnerabilidad en el manejo de las solicitudes HTTP POST debido a la falta de comprobaciones de errores de la biblioteca Mocana NanoSSL conduce a un desbordamiento de la pila de longitud controlada por el atacante, que puede conducir a RCE. Esta vulnerabilidad no tiene CVE porque se encontró en una línea de productos descontinuada de Avaya, lo que significa que no se emitirá ningún parche para solucionar esta vulnerabilidad, aunque los datos de Armis muestran que estos dispositivos todavía se pueden encontrar en la naturaleza.
Los dispositivos de Avaya afectados por TLStorm 2.0 son:
- ERS3500 Series
- ERS3600 Series
- ERS4900 Series
- ERS5900 Series