Plusieurs séries de commutateurs réseau fabriqués par Aruba Networks, propriété de Hewlett Packard Enterprise (HPE), et Avaya, sont vulnérables à des attaques par exécution à distance de code malveillant (RCE). Ces dernières pourraient permettre à des pirates de rompre la segmentation du réseau, d'exfiltrer des données des réseaux internes vers l'internet ou encore d'utiliser des portails captifs pour sous-tirer à des utilisateurs leurs authentifiants. Les failles proviennent d'erreurs commises par les fournisseurs lors de la mise en œuvre d'une bibliothèque TLS embarquée populaire. Les vulnérabilités sont jugées critiques selon les chercheurs de la société de sécurité Armis qui les ont découvertes.

Ces failles, regroupées en tant que TLStorm 2.0, peuvent aller jusqu'à une prise de contrôle total, souvent sans authentification, de commutateurs déployés dans une grande variété de réseaux d'entreprise et également utilisés pour isoler les segments de réseaux publics dans les aéroports, les hôpitaux, les hôtels et autres organisations. « Au cours des derniers mois, nous avons constaté un nombre croissant de vulnérabilités dans des bibliothèques populaires, les deux plus notables étant Log4Shell et Spring4Shell » indiquent les chercheurs d'Armis dans leur rapport. « S'il est clair que presque tous les logiciels s'appuient sur des bibliothèques externes, ces bibliothèques introduisent de nouveaux risques pour le logiciel hôte. Dans le cas de Mocana NanoSSL, le manuel indique clairement le nettoyage adéquat en cas d'erreur de connexion, mais nous avons déjà vu plusieurs fournisseurs ne pas gérer les erreurs correctement, ce qui a entraîné des bugs de corruption de mémoire ou de confusion d'état ».

Des bibliothèques TLS populaires 

NanoSSL est une bibliothèque TLS à source fermée très performante pour les dispositifs embarqués, qui a plus de dix ans d'existence. Elle a été développée par Mocana, une société de sécurité IoT récemment acquise par DigiCert. Les chercheurs d'Armis ont d'abord identifié des vulnérabilités critiques, surnommées TLStorm, dans les appareils APC SmartUPS, qui provenaient du fait que le fabricant ne suivait pas certaines des recommandations d'implémentation faites par les développeurs de NanoSSL. Les défauts d'implémentation sont courants lorsqu'il s'agit de bibliothèques de chiffrement en général et peuvent fournir une voie pour exploiter des faiblesses connues dans ces bibliothèques qui dépendent d'une implémentation correcte et sûre pour être atténuées. C'était le cas des vulnérabilités d'APC SmartUPS qui se trouvaient dans le code qui reliait la logique du fournisseur et la bibliothèque NanoSSL.

En enquêtant sur les failles de TLStorm, Armis a identifié des dizaines de dispositifs utilisant la bibliothèque NanoSSL dans sa base de données existante de profils de dispositifs et certains d'entre eux étaient des commutateurs réseau fabriqués par Aruba et Avaya. Cela les a amenés à trouver les mêmes problèmes d'implémentation de la bibliothèque dans ces dispositifs, avec des implications tout aussi graves. Ces nouveaux bogues ont été baptisés TLStorm 2.0.

Contourner la segmentation du réseau

Les commutateurs réseau sont généralement utilisés pour isoler les segments de réseau local virtuel (VLAN) les uns des autres pour des raisons de sécurité. Par exemple, il est courant pour les entreprises d'isoler les réseaux d'invités, qu'ils soient WiFi ou câblés, du réseau d'entreprise plus large, ou d'isoler les appareils ou serveurs critiques dans leur propre segment de réseau plus restreint auquel on ne peut accéder depuis le réseau d'entreprise plus large sans authentification supplémentaire.

Une caractéristique commune de l'authentification de l'accès au réseau est ce que l'on appelle les portails captifs. Il s'agit essentiellement de pages Web affichées aux utilisateurs qui viennent de se connecter, où il leur est demandé de s'authentifier ou d'accepter certaines conditions avant de pouvoir accéder à l'internet ou à d'autres ressources du réseau. Les portails captifs sont très courants dans les réseaux d'invités, qu'ils soient WiFi ou câblés, dans une variété d'environnements, des aéroports, hôpitaux et hôtels aux cafés, immeubles d'habitation et centres d'affaires. « En utilisant les vulnérabilités de TLStorm 2.0, un attaquant peut abuser du portail captif et obtenir l'exécution de code à distance sur le commutateur sans avoir besoin d'authentification », ont déclaré les chercheurs d'Armis. « Une fois que l'attaquant a le contrôle du commutateur, il peut désactiver complètement le portail captif et se connecter librement au réseau de l'entreprise ». Une fois que les attaquants ont le contrôle du commutateur, ils peuvent également contourner la segmentation du réseau et passer d'un VLAN à un autre. Cela permet un déplacement latéral à travers le réseau et des segments de réseau potentiels qui devraient être isolés d'Internet.

Le protocole Radius impacté

Les erreurs d'implémentation de NanoSSL dans les commutateurs Aruba peuvent être exploitées par le biais de connexions TLS établies à la fois avec la fonction de portail captif et avec le protocole Radius. Il s’agit d’un protocole d'authentification et d'autorisation réseau client-serveur utilisé pour fournir une gestion centralisée des utilisateurs accédant aux services réseau. Les commutateurs réseau comprennent un client Radius qui se connecte au serveur Radius central pour demander l'accès à différentes ressources. Une vulnérabilité dans la gestion de la connexion Radius pourrait permettre à un attaquant capable d'intercepter cette connexion via une attaque de type man in the middle de prendre le contrôle du commutateur sans aucune interaction avec l'utilisateur », indiquent les chercheurs d'Armis.

Par ailleurs, un utilisateur du portail captif peut prendre le contrôle d'un commutateur vulnérable avant l'authentification. Comme les deux problèmes découlent d'une mauvaise gestion des connexions TLS via NanoSSL dans les commutateurs Aruba, ils sont regroupés sous le nom de CVE-2022-23677 (score de gravité CVSS de 9,0). Les chercheurs ont également identifié deux problèmes de corruption de mémoire dans le client RADIUS des commutateurs Aruba qui peuvent conduire à l'exécution de données de contrôle de l'attaquant via des débordements de tas. Ces problèmes sont suivis séparément sous le nom de CVE-2022-23676 (score CVSS de 9,1). Les modèles de commutateurs Aruba concernés par ces failles sont les suivants : Aruba 5400R Series, 3810 Series, 2920 Series, 2930F Series, 2930M Series, 2530 Series et 2540 Series.

Plusieurs vulnérabilités de niveau 9,8

Les failles trouvées dans les commutateurs Avaya peuvent être exploitées via le portail de gestion web et aucune d'entre elles ne nécessite d'authentification. Une faille (CVE-2022-29860) avec un score de gravité de 9.8 est un débordement de tas provenant du réassemblage TLS. Elle est causée par une validation incorrecte des valeurs de retour de NanoSSL lors du traitement des requêtes POST adressées au serveur web. Une vulnérabilité distincte dans l'analyse de l'en-tête HTTP des commutateurs Avaya lors du traitement de données de formulaire multiparties combinées à une chaîne qui n'est pas à terminaison nulle peut également provoquer un débordement de pile contrôlé par un attaquant et conduire à l'exécution de code à distance. Cette vulnérabilité est suivie séparément sous le nom de CVE-2022-29861 (score CVSS de 9,8).

Une troisième vulnérabilité RCE qui n'a pas reçu d'ID CVE a également été découverte dans une ligne de produits Avaya abandonnée et est causée par des contrôles d'erreur manquants liés à la bibliothèque NanoSSL. Comme les produits concernés ne sont plus maintenus, il est peu probable que cette faille reçoive un correctif, mais les données d'Armis montrent que les appareils concernés sont toujours utilisés dans la nature. Les appareils Avaya concernés par TLStorm 2.0 sont les suivants : ERS3500 Series, ERS3600 Series, ERS4900 Series et ERS5900 Series.

Atténuation de TLStorm 2.0

Selon Armis, rien n'indique que les vulnérabilités de TLStorm 2.0 aient été exploitées dans la nature. Aruba (HPE) et Avaya ont contacté leurs clients et publié des correctifs pour la plupart des vulnérabilités. Ceux-ci sont disponibles sur leurs portails d'assistance client respectifs. En outre, le cabinet recommande de mettre en œuvre des solutions de surveillance du réseau qui peuvent identifier les tentatives d'exploitation de ces vulnérabilités et d'autres et de limiter la surface d'attaque des dispositifs en bloquant l'accès à leurs portails de gestion à partir de réseaux invités ou en les limitant à des ports de gestion dédiés.