Thread: Сетевые коммутаторы Aruba и Avaya уязвимы для RCE-атак
View Single Post
  #1  
Old 02-16-2025, 10:33 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Ошибки в библиотеках позволяют злоумышленникам проникнуть в систему.

Исследователи обнаружили пять уязвимостей в сетевом оборудовании Aruba (принадлежит HP) и Avaya (принадлежит ExtremeNetworks), позволяющие злоумышленникам удаленно выполнять произвольный код на устройствах. Атака может привести к различным последствиям - от утечки данных и полного захвата устройства до бокового перемещения и преодоление защиты сегментации сети.
Напомним, под именем TLStorm скрывались сразу три 0-day уязвимости, которые позволяли хакерам установить полный контроль над источниками бесперебойного питания (UPS) компании APC и осуществлять «экстремальные киберфизические атаки».
Исследователи безопасности из компании Armis назвали новый набор уязвимостей TLStorm 2.0 , из-за схожести с уязвимостью нулевого дня популярных моделей UPS ИБП . Аналитики заявили об идентичном риске для устройств других производителей и составили список уязвимых продуктов:
  • Avaya ERS3500 Series

  • Avaya ERS3600 Series

  • Avaya ERS4900 Series

  • Avaya ERS5900 Series

  • Aruba 5400R Series

  • Aruba 3810 Series

  • Aruba 2920 Series

  • Aruba 2930F Series

  • Aruba 2930M Series

  • Aruba 2530 Series

  • Aruba 2540 Series

В случае TLStorm 2.0 причина проблемы заключается в том, что используемый поставщиками код «связующей логики» не соответствует рекомендациям NanoSSL, что потенциально приводит удаленному выполнению кода.
Уязвимости в библиотеке Aruba NanoSSL также используются в сервере аутентификации Radius (CVE-2022-23677) и в системе Сaptive Portal (CVE-2022-23676), позволяя удаленному злоумышленнику вызвать переполнение буфера.
В Avaya реализация библиотеки содержит три уязвимости:
  • переполнение кучи TLS (CVE-2022-29860);

  • переполнение стека при синтаксическом анализе HTTP-заголовка (CVE-2022-29861);

  • переполнение при обработке HTTP POST запросов.

Проблема не в самой библиотеке, а в ее реализации.
Armis представила два основных сценария эксплуатации, которые позволяют выйти за пределы Captive portal или нарушить сегментацию сети.
В первом сценарии злоумышленник получает доступ к веб-странице ограниченного сетевого ресурса, требующего оплаты или другой токен доступа. Captive Portal обычно используется в гостиницах, аэропортах и в бизнес-центрах. С помощью TLStorm 2.0 злоумышленник может удаленно выполнить код на коммутаторе, обойдя ограничения captive portal или полностью отключив их.
Во втором сценарии киберпреступник может использовать уязвимость для нарушения сегментации сети и получить доступ к любым частям IT-системы, свободно перемещаясь из гостевого пространства в корпоративный сегмент.
Armis проинформировал Aruba и Avaya о TLStorm 2.0 три месяца назад. Клиенты были уведомлены и получили обновления с исправлением уязвимости.