Des vulnérabilités critiques trouvées dans des millions de commutateurs Aruba (HP) et Avaya (Extreme Networks)

• Print
• Twitter
• Linkedin

TLStorm 2.0 : tel est le petit nom attribué à cinq vulnérabilités critiques découvertes par la société de cybersécurité Armis dans dix millions de commutateurs Aruba de HP et Avaya (rachetés par Extreme Networks en 2017). Les bugs proviennent de failles logées dans une bibliothèque TLS (NanoSSL) développée par Mocana, une filiale de DigiCert. Leurs scores de gravité atteignent entre 9,0 et 9,8 sur 10.

« Ces commutateurs réseau sont couramment utilisés dans les aéroports, les hôpitaux et les hôtels », explique Barak Hadad, responsable de la recherche chez Armis, dans un post de blog. 

Armis a repéré deux failles dans les produits Aruba :

CVE-2022-23676 : une vulnérabilité de corruption de la mémoire d’un client Radius qui se voit attribuer un score CVSS de 9.1.

CVE-2022-23677 : d’un score CVSS de 9,0 sur 10, elle est susceptible d’être exploitée via un portail captif, ces pages web qui apparaissent quand on essaie de se connecter au wi-fi d’une gare, d’un aéroport, etc. et qui exigent des données personnelles, un paiement ou la validation d’un accord d’utilisation pour fournir une connexion internet.

« Lorsque l’équipement réseau vulnérable utilise NanoSSL pour présenter un portail captif, les criminels peuvent exploiter les vulnérabilités TLStorm 2.0 pour obtenir l’exécution de code à distance, sans authentification », commente Barak Hadad. « Une fois qu’ils contrôlent ce matériel de commutation, ils peuvent désactiver le portail captif et explorer le réseau à la recherche de systèmes à attaquer. »

Sept séries d’appareils Aruba sont concernées : 5400R, 3810, 2920, 2930F, 2930M, 2530 et 2540. Des correctifs sont disponibles auprès du support technique de HP Enterprise.

Quant aux commutateurs Avaya, Armis a repéré les trois vulnérabilités ‘zéro-clic’ suivantes :

CVE-2022-29860 (score CVSS de 9,8) : un débordement de tas de réassemblage TLS qui peut conduire à l’exécution de code à distance.

CVE-2022-29861 (score de 9,8 également) : un débordement de pile pendant l’analyse des en-têtes HTTP.

La troisième vulnérabilité, concernant le traitement de requêtes HTTP POST, n’a pas reçu de CVE car elle a été repérée dans une ligne de produits obsolète. Aucun correctif ne sera publié même si le chercheur d’Armis affirme que ces produits sont encore en usage.

Les quatre séries d’équipements Avaya touchées sont les ERS3500, ERS3600, ERS4900 et ERS5900. Selon Armis, aucune attaque n’est à déplorer à présent mais il est vivement conseillé de se rendre sans tarder sur le portail de support technique d’Extreme Networks pour en savoir plus et appliquer les correctifs.