En mars 2022, Armis a d’abord révélé TLStorm : trois vulnérabilités critiques des périphériques APC Smart-UPS. Ces vulnérabilités permettent à un pirate de prendre le contrôle des onduleurs Smart-UPS depuis Internet, sans intervention de l’utilisateur, ce qui provoque une surcharge de l’onduleur... qui peut finir par s’autodétruire dans un nuage de fumée. La cause première de ces vulnérabilités est une mauvaise utilisation de NanoSSL, une bibliothèque TLS Mocana très populaire. S’appuyant sur la base de connaissances Armis (base de données répertoriant plus de deux milliards de biens), nos chercheurs ont identifié des dizaines de périphériques qui utilisent la bibliothèque NanoSSL Mocana. Cela inclut non seulement les périphériques APC Smart-UPS, mais aussi deux fournisseurs de commutateurs très utilisés, qui comportent un défaut d’implémentation similaire de cette bibliothèque. Même si les onduleurs et les commutateurs réseau ne jouent pas le même rôle et n’ont pas le même niveau de confiance sur le réseau, les problèmes d’implémentation TLS sous-jacents pourraient avoir des conséquences dévastatrices.

Les nouvelles recherches sur TLStorm 2.0 révèlent des vulnérabilités pouvant permettre à un pirate de prendre le contrôle total des commutateurs réseau utilisés dans les aéroports, les hôpitaux, les hôtels ou d’autres entreprises partout dans le monde. Les fournisseurs concernés sont Aruba (racheté par HPE) et Avaya Networking (racheté par ExtremeNetworks). Nous avons constaté que les commutateurs de ces deux fournisseurs sont parfois vulnérables à l’exécution de code à distance (RCE), vulnérabilité susceptible d’être exploitée sur le réseau et de provoquer :

● Rupture de la segmentation réseau, ce qui permettrait d’effectuer un déplacement latéral vers des périphériques supplémentaires, en modifiant le comportement du commutateur
● Exfiltration de données depuis le trafic sur les réseaux d’entreprise ou d’informations sensibles depuis le réseau interne, les faisant fuiter sur Internet
● Fuite du portail captif

Ces résultats de recherche sont très importants, car ils montrent que l’infrastructure réseau elle-même est en danger et peut être exploitée par des pirates, ce qui signifie que la segmentation réseau seule ne suffit plus à assurer la sécurité.

« Les recherches Armis visent un seul objectif simple : identifier les menaces de sécurité émergentes pour fournir à nos clients une protection continue en temps réel. », déclare Barak Hadad, Directeur de recherche chez Armis. « Les vulnérabilités TLStorm sont l’exemple parfait de menaces sur les biens qui étaient jusqu’à présent invisibles pour la plupart des solutions de sécurité, et elles montrent que la segmentation réseau n’est plus une mesure de sécurité suffisante. La surveillance proactive du réseau est essentielle. Les chercheurs Armis vont continuer à explorer les biens dans tous les environnements pour s’assurer que notre base de connaissances de plus de deux milliards de biens présente les dernières mesures de limitation des risques à tous nos partenaires et clients. »

Portails captifs

Un portail captif est la page Web qui s’affiche pour les utilisateurs nouvellement connectés à un réseau Wi-Fi ou filaire, avant qu’ils ne disposent d’un accès plus large aux ressources réseau. Les portails captifs servent généralement à présenter une page de connexion, où l’utilisateur doit s’authentifier, payer ou entrer d’autres identifiants valides (fixés par l’hôte et l’utilisateur). Les portails captifs permettent d’accéder à un large éventail de services haut débit mobiles et pédestres, notamment les points d’accès câblés ou Wi-Fi du commerce, et points d’accès à domicile, ainsi que les réseaux filaires d’entreprise ou résidentiels, comme ceux des immeubles en copropriété, des chambres d’hôtel ou des centres d’affaires.

En utilisant les vulnérabilités TLStorm 2.0, un pirate peut tromper le portail captif et obtenir l’exécution de code à distance sur le commutateur, sans avoir besoin de s’authentifier. Une fois que le pirate contrôle le commutateur, il peut désactiver entièrement le portail captif et se déplacer latéralement sur le réseau de l’entreprise.

Détails des vulnérabilités et périphériques concernés

Aruba

• CVE-2022-23677 (Score CVSS = 9) - Mauvaise utilisation de NanoSSL dans plusieurs interfaces (RCE)

o La bibliothèque NanoSSL mentionnée plus haut est utilisée dans le firmware de tous les commutateurs Aruba, pour différents usages. Deux principaux scénarios où la connexion TLS établie avec la bibliothèque NanoSSL n’est pas sûre et peut conduire à l’exécution de code à distance (RCE) :

■ Portail captif - Un utilisateur du portail captif peut prendre le contrôle du commutateur avant l’authentification.
■ Client d’authentification RADIUS - Une vulnérabilité de la gestion des connexions RADIUS pourrait permettre à un pirate capable d’intercepter la connexion RADIUS via une attaque « Man In The Middle » d’accéder à l’exécution de code à distance (RCE) sur le commutateur sans intervention de l’utilisateur.

● CVE-2022-23676 (Score CVSS = 9,1) - Vulnérabilités de corruption de la mémoire du client RADIUS
○ RADIUS est un protocole client/serveur AAA (authentification, autorisation, traçabilité) qui permet l’authentification centralisée des utilisateurs qui tentent d’accéder à un service réseau. Le serveur RADIUS répond aux demandes d’accès des services réseau agissant comme clients. Le serveur RADIUS vérifie les informations de la demande d’accès et répond en autorisant la tentative d’accès, en la refusant ou en demandant d’autres informations.
○ Il existe deux vulnérabilités de corruption de la mémoire dans l’implémentation du client RADIUS sur le commutateur, qui peuvent provoquer un débordement de pile des données contrôlées par le pirate. Cela peut autoriser un serveur RADIUS malveillant ou un pirate ayant accès au secret partagé RADIUS à exécuter du code à distance sur le commutateur.

Périphériques Aruba affectés par TLStorm 2.0 :
● Aruba série 5400R
● Aruba série 3810
● Aruba série 2920
● Aruba série 2930F
● Aruba série 2930M
● Aruba série 2530
● Aruba série 2540

Vulnérabilités avant authentification dans l’interface de gestion Avaya

La surface d’attaque des trois vulnérabilités des commutateurs Avaya est le portail de gestion Web. Aucune de ces vulnérabilités ne nécessite une authentification, quelle qu’elle soit, ce qui en fait un groupe de vulnérabilités « zéro clic ».

● CVE-2022-29860 (CVSS = 9,8) - Débordement de la pile de réassemblage TLS
○ Cette vulnérabilité ressemble à CVE-2022-22805, détectée par Armis sur les périphériques APC Smart-UPS. Le processus qui gère les demandes POST sur le serveur Web ne valide pas correctement les valeurs de retour NanoSSL, ce qui provoque un débordement de pile pouvant permettre l’exécution de code à distance.

● CVE-2022-29861 (CVSS = 9,8) - Débordement de pile d’analyse des en-têtes HTTP
○ Un contrôle incorrect des frontières dans le traitement des données au format Multipart, combiné avec une chaîne sans terminaison NULL, peut permettre à un pirate de provoquer un débordement de pile menant à l’exécution de code à distance (RCE).

● Débordement de pile du traitement des demandes POST HTTP
○ Une vulnérabilité du traitement des demandes POST HTTP, due à des contrôles d’erreur manquants pour la bibliothèque NanoSSL Mocana provoque un débordement de pile dont l’importance est contrôlée par le pirate, pouvant mener à l’exécution de code à distance. Cette vulnérabilité n’est associée à aucune CVE parce qu’elle a été détectée dans une gamme de produits Avaya qui n’est plus commercialisée. Par conséquent, aucun correctif ne sera publié pour corriger cette vulnérabilité, bien que les données Armis prouvent que ces périphériques sont toujours présents sur le terrain.

Périphériques Avaya affectés par TLStorm 2.0 :

● Série ERS3500
_● Série ERS3600
● Série ERS4900
● Série ERS5900

Mises à jour et corrections

Aruba et Avaya ont travaillé en collaboration avec Armis sur le sujet. Leurs clients ont été avertis et ont reçu des correctifs pour corriger la plupart de ces vulnérabilités. Dans l’état actuel de nos connaissances, il n’y a aucune indication que les vulnérabilités TLStorm 2.0 aient été exploitées.
Les entreprises qui déploient des périphériques Aruba concernés doivent appliquer immédiatement à ces périphériques les correctifs disponibles sur le portail de support Aruba, ici.

Les entreprises qui déploient des périphériques Avaya concernés doivent consulter immédiatement les conseils de sécurité sur le portail de support Avaya, ici.

Les clients d’Armis peuvent immédiatement identifier les périphériques vulnérables dans leur environnement et prendre les mesures nécessaires. Pour contacter un expert Armis et tester notre plateforme primée de visibilité unifiée des biens et de sécurité, cliquez ici.

Présentation de nos recherches

Les experts Armis vous parleront des recherches concernant TLStorm lors des événements virtuels/présentiels suivants :
● Salon Black Hat Asia 2022 (10-13 mai 2022) - Like Lightning From the Cloud : Finding RCEs in an Embedded TLS Library and Toasting a Popular Cloud-connected UPS (Comme un coup de tonnerre dans le Cloud : Détecter les vulnérabilités RCE dans une bibliothèque TLS et faire griller un onduleur connecté au Cloud)