Se ha confirmado el hallazgo de cinco vulnerabilidades críticas de ejecución remota de código (RCE) en millones de dispositivos Aruba y Avaya cuya explotación permitiría a los actores de amenazas tomar control de los switches de red empleados en toda clase de instalaciones, incluyendo hospitales, hoteles y aeropuertos.
Los investigadores de la firma de seguridad Armis identificaron este conjunto de fallas como TLStorm 2.0, mencionando que los errores existen debido a algunas debilidades de seguridad en NanoSSL, una biblioteca TLS desarrollada por Mocana y empleada por los equipos de red vulnerables.
Barak Hadad, a cargo de la investigación, menciona que las fallas afectan a unos 10 millones de dispositivos en la cartera de switches Aruba de HPE y Avaya de Extreme Networks, y recibieron puntajes de entre 9/10 y 9.8/10 según el Common Vulnerability Scoring System (CVSS).
En caso de ser explotadas, las vulnerabilidades permitirían a los actores de amenazas alterar el comportamiento de los dispositivos afectados para ataques de movimiento lateral y robo de información confidencial. Hasta el momento no se han detectado intentos de explotación activa, lo que permitió desarrollar las actualizaciones de forma adecuada.
Sobre las fallas de seguridad, los switches Aruba se ven afectados por CVE-2022-23677, con una puntuación CVSS de 9/10. Esta falla existe debido a un error en NanoSSL, que puede ser explotada a través de un portal cautivo. Un segundo error en switches Aruba (CVE-202-23676) fue descrito como una corrupción de memoria del cliente en RADIUS, que recibió un puntaje CVSS de 9.1/10.
La lista de switches Aruba afectados incluye:
- Aruba 5400R Series
- Aruba 3810 Series
- Aruba 2920 Series
- Aruba 2930F Series
- Aruba 2930M Series
- Aruba 2530 Series
- Aruba 2540 Series
Por otra parte, los productos Avaya se ven afectados por CVE-2022-29860, un error de desbordamiento del montón de reensamblaje de TLS que recibió un puntaje CVSS de 9.8/10. Además, CVE-2022-29861 podría provocar un desbordamiento de pila durante el análisis del encabezado HTTP, que puede aprovecharse para ejecutar código malicioso arbitrario de forma remota en los switches Avaya.
Las fallas TLStorm 2.0 existen en los siguientes productos Avaya:
- ERS3500 Series
- ERS3600 Series
- ERS4900 Series
- ERS5900 Series
Se recomienda a los administradores de implementaciones afectadas abordar las vulnerabilidades detectadas a la brevedad a fin de mitigar el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
