Alertas

Vulnerabilidades de ejecución remota de código en productos de Aruba y Avaya

Se han encontrado cinco nuevas vulnerabilidades en la implementación de las comunicaciones TLS en varios modelos de conmutadores Aruba y Avaya. Estas cinco vulnerabilidades se conocen como TLStorm 2.0.
05 May 2022
2 Minutos de lectura

ANÁLISIS

Aruba

CVE-2022-23677 (puntuación CVSS 9.0) - Uso indebido de NanoSSL en múltiples interfaces (RCE): La biblioteca NanoSSL se utiliza en todo el firmware de los conmutadores Aruba para múltiples propósitos. Los dos principales casos de uso para los que la conexión TLS hace usando la librería NanoSSL no es segura y puede llevar a RCE: 

Portal cautivo - Un usuario del portal cautivo puede tomar el control del switch antes de la autenticación.
Cliente de autenticación RADIUS - Una vulnerabilidad en el manejo de la conexión RADIUS podría permitir a un atacante que es capaz de interceptar la conexión RADIUS a través de un ataque de man in the middle para obtener RCE sobre el conmutador sin la interacción del usuario.

CVE-2022-23676 (puntuación CVSS 9.1) - Vulnerabilidades de corrupción de memoria del cliente RADIUS: RADIUS es un protocolo cliente/servidor de autenticación, autorización y contabilidad (AAA) que permite la autenticación central de los usuarios que intentan acceder a un servicio de red. El servidor RADIUS responde a las solicitudes de acceso de los servicios de red que actúan como clientes. El servidor RADIUS comprueba la información de la solicitud de acceso y responde con una autorización del intento de acceso, un rechazo o una solicitud de más información. 

Hay dos vulnerabilidades de corrupción de memoria en la implementación del cliente RADIUS del conmutador que conducen a desbordamientos de la pila de datos controlados por el atacante. Esto puede permitir a un servidor RADIUS malicioso, o a un atacante con acceso al secreto compartido de RADIUS, ejecutar código de forma remota en el switch.

Los dispositivos Aruba afectados por TLStorm 2.0 son

  • Aruba 5400R Series
  • Aruba 3810 Series
  • Aruba 2920 Series
  • Aruba 2930F Series
  • Aruba 2930M Series
  • Aruba 2530 Series
  • Aruba 2540 Series

Vulnerabilidades de preautoría de la interfaz de gestión de Avaya

La superficie de ataque para las tres vulnerabilidades de los conmutadores Avaya es el portal de gestión web y ninguna de las vulnerabilidades requiere ningún tipo de autenticación, por lo que se trata de un grupo de vulnerabilidad de cero clics.

CVE-2022-29860 (puntuación CVSS de 9,8) - Desbordamiento de heap de reensamblaje TLS: Se trata de una vulnerabilidad similar a la CVE-2022-22805 que encontramos en los dispositivos Smart-UPS de APC. El proceso que gestiona las solicitudes POST en el servidor web no valida correctamente los valores de retorno de NanoSSL, lo que da lugar a un desbordamiento de heap que puede conducir a la ejecución remota de código.

CVE-2022-29861 (puntuación CVSS de 9,8) - Desbordamiento de pila en el análisis de encabezados HTTP: Una comprobación de límites inadecuada en el manejo de datos de formularios multiparte combinada con una cadena que no está terminada en cero conduce a un desbordamiento de pila controlado por el atacante que puede conducir a RCE.

Desbordamiento de pila en el manejo de solicitudes HTTP POST: Una vulnerabilidad en el manejo de solicitudes HTTP POST debido a la falta de comprobaciones de errores de la biblioteca Mocana NanoSSL conduce a un desbordamiento de heap de longitud controlada por el atacante, que puede conducir a RCE. Esta vulnerabilidad no tiene CVE porque se encontró en una línea de productos descontinuada de Avaya, lo que significa que ningún parche va a arreglar esta vulnerabilidad, aunque estos dispositivos todavía se usan.

Dispositivos de Avaya afectados por TLStorm 2.0:

  • ERS3500 Series
  • ERS3600 Series
  • ERS4900 Series
  • ERS5900 Series

RECOMENDACIONES

Las organizaciones que despliegan dispositivos Aruba afectados deben parchear los dispositivos afectados inmediatamente con parches en el Portal de Soporte de Aruba aquí [1].

Las organizaciones que despliegan dispositivos Avaya afectados deben comprobar inmediatamente los avisos de seguridad en el Portal de Soporte de Avaya aquí [2].

 
REFERENCIAS

[1] https://asp.arubanetworks.com/
[2] https://extremeportal.force.com/ExtrSupportHome
https://www.armis.com/blog/tlstorm-2-nanossl-tls-library-misuse-leads-to-vulnerabilities-in-common-switches/
https://cybersecuritynews.es/descubren-tlstorm-2-0-cinco-vulnerabilidades-criticas-en-dispositivos-en-red-que-ponen-en-riesgo-a-organizaciones-de-todo-el-mundo/

987 visitas