TLStorm 2.0: a rischio milioni di switch di rete. Applicare le patch

A marzo scorso avevamo parlato del problema di sicurezza scoperto nei gruppi di continuità APC Smart-UPS: battezzato TLStorm poteva essere utilizzato dai criminali informatici per modificare il comportamento dei dispositivi, causare sovraccarichi e provocare gravi danni.

La causa principale di queste vulnerabilità derivava da un uso improprio di NanoSSL, una popolare libreria per la gestione dei dati utilizzando l’algoritmo crittografico TLS.
I tecnici di Armis hanno però scoperto che il problema riguarda anche milioni di switch di rete a marchio Aruba Networks (HPE) e Avaya.

Il problema di sicurezza riscontrato sugli switch di rete è stato battezzato TLStorm 2.0: in questo caso le varie vulnerabilità, sempre correlate con l’utilizzo della libreria NanoSSL, permetterebbero a un aggressore di assumere pieno controllo sugli switch utilizzati in aeroporti, ospedali, hotel e altre organizzazioni in tutto il mondo.

Armis ha accertato che sia Aruba Networks che Avaya hanno a catalogo switch che espongono a vulnerabilità RCE (remote code execution) che possono essere sfruttate anche in modalità remota.
L’utente malintenzionato o il criminale informatico possono così superare le politiche di segmentazione della rete facendosi largo all’interno della rete LAN e raggiungendo altri dispositivi.
Diventa inoltre possibile modificare in profondità il comportamento dello switch con la possibilità di analizzare il traffico di rete ed estrarre dati personali e informazioni sensibili.

Infine, è possibile usare le vulnerabilità individuate da Armis per superare eventuali captive portal ovvero le pagine di registrazione e autenticazione che molte realtà propongono agli utenti per raccogliere informazioni sulla loro identità prima di consentire l’accesso alla WiFi.
Utilizzando le vulnerabilità TLStorm 2.0, un aggressore può abusare del captive portal e ottenere l’esecuzione di codice remoto sullo switch senza bisogno di autenticazione. Una volta acquisito il controllo dello switch, questi può disabilitare il captive portal e avviare movimenti laterali nella LAN altrui.

Gli autori della ricerca spiegano che la segmentazione della rete con le VLAN, di fronte a bug di sicurezza come quelli venuti a galla, non è più sufficiente per proteggersi e il monitoraggio proattivo della rete diventa essenziale.

Come si spiega nell’analisi tecnica di Armis su TLStorm 2.0 l’azienda ha segnalato privatamente il problema di sicurezza ai soggetti interessati ricevendo poi la collaborazione di Aruba Networks e Avaya. Entrambe le aziende hanno rilasciato aggiornamenti del firmware destinati ai rispettivi switch di rete: le patch devono essere applicate prima possibile per evitare di esporre l’azienda a rischi di attacchi remoti.
“Per quanto noto, non ci sono indicazioni che le vulnerabilità TLStorm 2.0 siano state sfruttate“, puntualizza infine Armis.

I dispositivi Aruba Networks esposti a TLStorm 2.0 sono i seguenti: serie 5400R, 3810, 2920, 2930F, 2930M, 2530 e 2540.
Quelli a marchio Avaya: serie ERS3500, ERS3600, ERS4900 e ERS5900.