I criminali informatico possono assumere il pieno controllo di una serie di apparecchiature di rete Aruba e Avaya, sfruttando cinque vulnerabilità critiche. I dispositivi interessati sono installati in aeroporti, ospedali e hotel. Fortunatamente al momento non risultano sfruttamenti attivi delle falle in questione, e le patch sono già disponibili: è necessario installarle velocemente.

I dispositivi interessati sono i seguenti: per quanto concerne Aruba, sono i prodotti Serie 5400R, Serie 3810, Serie 2920, Serie 2930F, Serie 2930M, Serie 2530 e Serie 2540. Le patch per questi prodotti sono disponibili: tutte le indicazioni sono pubblicate sulla pagina ufficiale del produttore.

I prodotti interessati sono invece contraddistinti dalle seguenti sigle: Serie ERS3500, Serie ERS3600, Serie ERS4900, Serie ERS5900. Sulla pagina ufficiale del produttore ci sono ulteriori informazioni e le patch per i dispositivi interessati.

Un deja-vu

Le cinque vulnerabilità sono state identificate dai ricercatori di Armis, che le hanno collettivamente indicate come TLStorm 2.0. Denominatore comunque è il componente fallato: la libreria TLS NanoSSL sviluppata da Mocana e presente in tutte le apparecchiature di rete vulnerabili che abbiamo elencato sopra.

Il nome TLStorm non è nuovo, i più attenti avranno già fatto mente locale sulle tre falle zero-day scoperte un mese orsono su alcuni APC Smart-UPS prodotti da Schneider Electric. Il capitolo di Avaya e Aruba è una sorta di seconda puntata della stessa saga: anche in quel caso, infatti, era stato chiamato in causa TLS.

Gli stessi ricercatori che avevano scoperto il problema degli UPS hanno proseguito le indagini nella convinzione che l’elenco dei prodotti soggetti alle falle fosse ben più lungo. Non si sono quindi sorpresi quando hanno scoperto TLStorm 2.0. E probabilmente la questione non finisce qui, perché gli stessi esperti si dicono certi che troveranno in futuro altri fornitori vulnerabili. Complessivamente, i ricercatori stimano che ci siano in circolazione circa 10 milioni di dispositivi fallati.

I problemi di Aruba

Vediamo quindi di che cosa si tratta a questo giro. Partiamo con Aruba: la falla monitorata con la sigla CVE-2022-23677 ha un punteggio CVSS di 9.0 su 10 ed è dovuta a un problema di NanoSSL che può essere sfruttato tramite un captive portal. Per i non addetti ai lavori, i captive portal sono le pagine Web che vengono visualizzate la prima volta che un utente tenta di connettersi a una rete Wi-Fi presente in aeroporto, in hotel, in un ospedale, e così via. Una schermata richiede l'autenticazione, il pagamento o la sottoscrizione di un qualche tipo di accordo prima di fornire l'accesso a Internet e ad altri servizi.

Se le apparecchiature di rete sono vulnerabili a TLStorm 2.0 e utilizzano NanoSSL per erogare un captive portal, i cyber criminali possono ottenere l'esecuzione di codice in remoto, senza bisogno di autenticazione. Questo permette loro di assumere di fatto il controllo dello switch e usarlo come punto di accesso per esplorare la rete e individuare i sistemi da attaccare.

Una seconda vulnerabilità dei prodotti Aruba è quella monitorata con la sigla CVE-2022-23676, che ha un punteggio CVSS di 9.1. si tratta di un problema di memory-corruption (corruzione della memoria) del client RADIUS - un protocollo di autenticazione client-server, che può essere utilizzato per accedere a un servizio di rete. Sfruttandola, un attaccante può sovraccaricare la memoria heap per ottenere la possibilità di eseguire codice remoto.

I problemi di Avaya

A rendere vulnerabile gli switch Avaya è il portale di gestione web, afflitto da tre vulnerabilità che gli esperti definiscono zero-click, ossia che possono essere sfruttate senza alcuna interazione da parte dell'utente. Per questo i punteggi di gravità assegnati sono molto alti.

La falla CVE-2022-29860 ha una valutazione CVSS di 9.8, può portare all'esecuzione di codice remoto e si verifica perché il processo di gestione delle richieste POST sul server Web non convalida correttamente i valori NanoSSL.

Il secondo bug è monitorato con la sigla CVE-2022-29861 e ha un punteggio CVSS di 9.8. Può portare a un overflow dello stack durante l'analisi dell'intestazione HTTP, che può essere sfruttato per eseguire codice dannoso da remoto sullo switch. Terza e ultima falla riguarda la gestione delle richieste HTTP POST. La libreria NanoSSL non esegue un controllo degli errori, e questo porta a un heap overflow.

In questo caso non è presente un codice di identificazione del problema, perché i prodotti interessati sono ormai fuori produzione, il che implica che non sarà rilasciata la patch.