L'analisi tecnica

TLStorm 2, le vulnerabilità che consentono di prendere il controllo degli switch Aruba e Avaya

Sono state chiamate collettivamente TLStorm 2 le vulnerabilità negli switch Aruba HPE e Avaya che espongono la segmentazione delle reti ad attacchi RCE: se sfruttate, consentono movimenti laterali non autorizzati su reti di grandi dimensioni e l’esfiltrazione dei dati. Ecco tutti i dettagli

04 Mag 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Sono state scoperte cinque vulnerabilità critiche di esecuzione di codice remoto (RCE), collettivamente chiamate TLStorm 2, in milioni di switch Aruba HPE e Avaya: se sfruttate, possono consentire ai criminali informatici di prendere il pieno controllo dei dispositivi di rete comunemente utilizzati in aeroporti, ospedali e alberghi.

Lo studio delle vulnerabilità TLStorm 2, condotto dai ricercatori della società di sicurezza Armis, estende una precedente scoperta delle vulnerabilità TLStorm fatta a marzo scorso che mettevano a rischio gli utenti dei gruppi di continuità APC Smart-UPS e che consentivano a un attaccante remoto di disabilitare e danneggiare i dispositivi e persino le risorse collegate.

Vulnerabilità TLStorm, gruppi di continuità APC a rischio attacco: i dettagli

L’impatto delle vulnerabilità TLStorm 2 sugli switch

I dispositivi di rete switch sono apparati importanti per tutte le reti medio grandi, o comunque che abbiano un minimo di struttura progettuale alla base. In un contesto cyber come quello attuale, governato da una grande attenzione mediatica rivolta alle risultanze degli attacchi che coinvolgono Russia e Ucraina, la segmentazione della rete diventa una buona pratica di sicurezza informatica decisamente indispensabile, al fine di isolare eventuali disastri post attacco informatico.

WHITEPAPER
Una guida per acquisire nuovi clienti con il digital onboarding
Marketing
Trade

Gli switch giocano un ruolo fondamentale proprio nella pratica della segmentazione della rete. Avere dunque, dispositivi così strategici, coinvolti in diverse vulnerabilità che in media possono condurre tutte all’esecuzione di codice remoto, è un fatto grave, da affrontare sicuramente quanto prima.

Le vulnerabilità, che sono state censite come CVE, hanno tutte ottenuto un punteggio che varia tra i 9,0 e i 9,8 punti su 10, quindi possono essere definite critiche.

I danni a cui queste vulnerabilità, qualora sfruttate, possono portare sono schematizzabili in:

  1. interruzione della segmentazione di rete, consentendo il movimento laterale ai dispositivi aggiuntivi modificando il comportamento dello switch;
  2. esfiltrazione di dati del traffico di rete aziendale o di informazioni sensibili dalla rete interna verso Internet;
  3. captive portal escape, carpire informazioni sugli host collegati, mediante la compromissione dei captive portal utilizzati per l’accesso alla rete.

Dove risiedono i problemi?

Armis fa notare che le vulnerabilità sono riconducibili alla popolare libreria TLS di Mocana, NanoSSL. Si precisa però che le vulnerabilità rilevate non sono intrinseche della libreria stessa, ma di una errata (o meglio impropria) implementazione dai rispettivi fornitori all’interno dei dispositivi di rete.

Alla ricerca è stato assegnato il nome di TLStorm2.0 e su Aruba, NanoSSL è utilizzato per il server di autenticazione Radius e anche per il sistema captive portal. Il modo in cui è stato implementato (mancato controllo sugli errori e mancate convalide dei dati) può portare a overflow dell’heap dei dati.

In Avaya, l’implementazione della libreria introduce tre difetti, un overflow dell’heap di TLS, un overflow dello stack di analisi dell’intestazione HTTP e un overflow della gestione delle richieste HTTP POST.

Questa nuova serie di vulnerabilità, denominata TLStorm 2.0, espone vulnerabilità che potrebbero consentire a un utente malintenzionato di assumere il pieno controllo (RCE: remote code execution) di:

  • Serie Aruba 5400R
  • Serie Aruba 3810
  • Serie Aruba 2920
  • Serie Aruba 2930F
  • Serie Aruba 2930M
  • Serie Aruba 2530
  • Serie Aruba 2540

per quanto riguarda Aruba (fornitore acquisito da HP) e

  • Serie ERS3500
  • Serie ERS3600
  • Serie ERS4900
  • Serie ERS5900

per quanto riguarda i dispositivi Avaya.

Delle cinque vulnerabilità identificato 4 hanno visto l’assegnazione di un codice CVE pubblico, di cui due per Aruba CVE-2022-23677 e CVE-2022-23676, mentre i dispositivi Avaya sono interessati da CVE-2022-29860 e CVE-2022-29861. Una invece ancora non ha l’assegnazione del codice CVE, ma è comunque rivolta ai dispositivi Avaya.

Ad aggravare inoltre la sensibilità sull’argomento, si aggiunge anche il dettaglio che i due fornitori sono tra i più popolari nelle organizzazioni che dispongono di reti informatiche di un certo tipo.

Inoltre, la società di sicurezza Armis, già dai primi di marzo aveva istruito la ricerca denominata TLStorm, proprio per allertare su due vulnerabilità di questo tipo, in quel momento che colpivano apparati UPS (gruppi di continuità per il contrasto delle interruzioni di corrente elettrica) realizzati dalla controllata di Schneider Electric APC. Nonostante l’avviso il problema si è ripresentato, stavolta sui dispositivi switch, ma sempre per implementazione errata della medesima libreria software NanoSSL.

Con TLStorm 2.0 non vediamo altro che il continuare persistente del diffondersi dei problemi di supply chain su librerie software, questa volta però non imputabile ad un problema della stessa libreria, ma di scelte di sviluppo del costruttore hardware che le implementa “trasgredendo” le linee guida suggerite. “Sebbene l’uso di librerie esterne abbia molti vantaggi, porta anche incertezza intrinseca”, ha affermato Armis. “Impiantare un codice ‘estraneo’ significa che il fornitore si fida che venga implementato in modo sicuro, dal momento che qualsiasi problema di sicurezza che ha origine nella libreria esterna è incorporato al suo interno e diventa automaticamente un problema di sicurezza su cui il fornitore ha meno controllo”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3