Des vulnérabilités RCE découvertes dans les commutateurs Avaya et Aruba

Cinq vulnérabilités critiques susceptibles d’ouvrir la voie à l’exécution de code malveillant à distance ont été découvertes dans les commutateurs réseau Aruba et Avaya, selon les recherches d’Armis qui vient d’en publier les conclusions.

Le spécialiste de la sécurité des systèmes connectés (IoT) Armis a baptisé cette série de failles « TLStorm 2.0 », en référence à l’utilisation d’une bibliothèque TLS – NanoSSL – qui en est la cause première. Les cinq failles sont critiques. Deux d’entre elles (CVE-2022-23677 et CVE-2022-23676) affectent les commutateurs de réseau d’Aruba, et les trois autres (CVE-2022-29860, CVE-2022-29861 – la dernière ne s’étant pas vue attribuer de CVE) concernent les commutateurs d’Avaya.

Armis, qui a découvert les failles, a détaillé les cinq dans un billet de blog technique. Le fournisseur a découvert antérieurement la série de vulnérabilités TLStorm, susceptible d’être exploitée via un paquet TLS malveillant pour mettre le feu à des appareils APC Smart-UPS.

Barak Hadad, responsable de la recherche en ingénierie chez Armis, a écrit dans le billet de blog que TLStorm 2.0 est le fruit de la découverte du fait que les failles NanoSSL dites TLSStorm sont également présentes dans d’autres équipements.

« La cause première de ces vulnérabilités ce sont des failles dans la bibliothèque NanoSSL, qui s’appliquent lorsque certaines directives ne sont pas correctement suivies par le fournisseur utilisant la bibliothèque », explique Barak Hadad. « Les vulnérabilités elles-mêmes résident dans l’intégration du code de l’équipementier et de la bibliothèque NanoSSL. Lorsque ce code ne respecte pas certaines directives spécifiées dans la documentation de NanoSSL, un cas limite qui conduit à l’exécution de code à distance peut survenir ».

Les sous-ensembles de vulnérabilités d’Aruba et d’Avaya fonctionnent de manières légèrement différentes. Mais les deux peuvent permettre à un attaquant de rompre la segmentation du réseau et d’exécuter du code à distance.

Par exemple, les failles concernant Aruba recouvrent une vulnérabilité de corruption de mémoire et une autre qui permet à un attaquant d’échapper au portail captif d’un réseau. Celles d’Avaya, quant à elles, sont des vulnérabilités de type « zéro clic » qui utilisent le portail de gestion Web pour permettre un débordement de pile et de tas contrôlé par l’attaquant.

La vulnérabilité concernant Avaya qui ne s’est pas vue attribuer de CVE touche une ligne de produits abandonnée. Mais selon Barak Hadad, « les données d’Armis montrent que ces dispositifs peuvent encore être trouvés dans la nature ».

Les équipements Aruba concernés sont les séries 5400R, 3810, 2920, 2930F, 2930M, 2530 et 2540. Dans le cas d’Avaya, les séries ERS3500, ERS3600, ERS4900 et ERS5900 sont affectées par TLStorm 2.0. Des correctifs sont disponibles pour tous les appareils concernés, à l’exception de la gamme Avaya abandonnée.

Selon Barak Hadad, il n’est « pas trop difficile de développer un exploit » pour les vulnérabilités, bien que cela dépende du modèle de commutateur réseau : « l’exploitabilité dépend du modèle spécifique et de la configuration spécifique. Par exemple, dans le cas des commutateurs Aruba, l’utilisateur peut bloquer le portail de gestion sur certains des ports du commutateur et limiter considérablement la surface d’attaque ».

Armis a indiqué dans un communiqué de presse qu’à sa connaissance, il n’y a « aucune indication » d’exploitation des vulnérabilités TLStorm 2.0 dans la nature. Un porte-parole de HPE, la société mère d’Aruba, a également déclaré à nos confrères de SearchSecurity (groupe TechTarget) qu’il n’y avait aucune indication d’exploitation. Avaya n’a pas répondu à la demande de commentaires de SearchSecurity.