Les chercheurs en cybersécurité ont détaillé jusqu’à cinq failles de sécurité graves dans la mise en œuvre du protocole TLS dans plusieurs modèles de commutateurs réseau Aruba et Avaya qui pourraient être utilisées à mauvais escient pour obtenir un accès à distance aux réseaux d’entreprise et voler des informations précieuses. Les conclusions font suite à la divulgation en mars de TLStorm, un ensemble de trois failles critiques dans les appareils APC Smart-UPS qui pourraient permettre à un attaquant de prendre le contrôle et, pire, d’endommager physiquement les appareils. La société de sécurité IoT Armis, qui a découvert les lacunes, a noté que les défauts de conception peuvent être attribués à une source commune : une mauvaise utilisation de NanoSSL, une suite de développement SSL basée sur des normes de Mocana, une filiale de DigiCert. Le nouvel ensemble de failles, baptisé TLStorm 2.0, rend les commutateurs réseau Aruba et Avaya vulnérables aux vulnérabilités d’exécution de code à distance, permettant à un adversaire de réquisitionner les appareils, de se déplacer latéralement sur le réseau et d’exfiltrer des données sensibles. Les appareils concernés incluent les séries Avaya ERS3500, ERS3600, ERS4900 et ERS5900 ainsi que les séries Aruba 5400R, 3810, 2920, 2930F, 2930M, 2530 et 2540.

Armis a attribué les failles à un « cas marginal », un non-respect des directives relatives à la bibliothèque NanoSSL qui pourrait entraîner l’exécution de code à distance. La liste des bogues est la suivante – CVE-2022-23676 (score CVSS : 9,1) – Deux vulnérabilités de corruption de mémoire dans l’implémentation du client RADIUS des commutateurs Aruba CVE-2022-23677 (score CVSS : 9,0) – Utilisation abusive de NanoSSL sur plusieurs interfaces dans les commutateurs Aruba CVE-2022-29860 (score CVSS : 9,8) – Vulnérabilité de débordement de tas de réassemblage TLS dans les commutateurs Avaya CVE-2022-29861 (score CVSS : 9,8) – Vulnérabilité de débordement de pile d’analyse d’en-tête HTTP dans les commutateurs Avaya Vulnérabilité de débordement de tas de gestion des requêtes HTTP POST dans une gamme de produits Avaya abandonnée (pas de CVE) Plus inquiétant encore, les vulnérabilités trouvées dans les commutateurs Avaya sont sans clic, ce qui signifie qu’elles peuvent être activées via des paquets réseau non authentifiés sans aucune interaction de l’utilisateur. « Ces résultats de recherche sont importants car ils soulignent que l’infrastructure réseau elle-même est à risque et exploitable par des attaquants, ce qui signifie que la segmentation du réseau à elle seule n’est plus suffisante comme mesure de sécurité », a déclaré Barak Hadad, responsable de la recherche en ingénierie chez Armis. Il est fortement recommandé aux organisations qui déploient des appareils Avaya et Aruba concernés d’appliquer les correctifs pour atténuer toute tentative d’exploitation potentielle.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *