Güvenlik araştırmacıları, Aruba (HP'ye ait) ve Avaya'dan (ExtrenNetWorks'ün sahibi olduğu) ağ ekipmanlarında, kötü amaçlı aktörlerin cihazlarda uzaktan kod yürütmesine izin verebilecek beş güvenlik açığı keşfettiler.
Başarılı bir saldırının neden olduğu hasar, veri ihlali ve tam cihaz devralma işleminden yanal harekete ve ağ segmentasyon savunmalarına kadar uzanmaktadır.
Armis Siber Güvenlik Şirketi'nden güvenlik araştırmacıları, Keşif, popüler APC UPS modellerinde bildirdikleri Nanossl TLS kütüphanesinin kötüye kullanımı ile aynı sınıfta olduğu için “TLSTorm 2.0” olarak adlandırılan bağlantılı cihazlarda uzmanlaşmıştır.
Analistler, diğer satıcılardan gelen cihazların aynı güvenlik risklerine sahip olduğunu ve etkilenen ürünlerin bir listesini sağladığını buldular:
Ağ anahtarları, kurumsal ağlardaki ortak unsurlardır ve bu günlerde daha büyük ortamlarda temel olan bir güvenlik uygulaması olan segmentasyonun uygulanmasına yardımcı olur.
Rolleri bir ağ köprüsü olarak hareket etmek, cihazları ağa bağlamak ve veri almak ve hedef cihaza iletmek için paket anahtarlama ve MAC adreslerini kullanmaktır.
Harici kütüphaneleri kullanmak genellikle uygun ve maliyet tasarrufu sağlayan bir çözümdür, ancak bazen bu uygulama hataları ve güvenlik sorunları ile birlikte gelir.
Bu uygulama, bilgisayar korsanlarını potansiyel olarak sömürülebilir kusurlar bulmak için bu küçük yapı taşlarına bakmaya motive eder.
TLSTorm 2.0 durumunda, sorunun nedeni, satıcılar tarafından kullanılan “tutkal mantığı” kodunun Nanossl yönergelerine uygun olmaması ve potansiyel RCE'ye (uzaktan kod yürütmesi) yol açmasıdır.
Aruba'da Nanossl, Radius Kimlik Doğrulama Sunucusu ve ayrıca Esir Portal Sistemi için kullanılır. Uygulanma şekli, CVE-2022-23677 ve CVE-2022-23676 olarak izlenen saldırgan verilerinin yığın taşmasına yol açabilir.
Avaya'da, kütüphane uygulaması üç kusur, bir TLS yeniden montaj yığın taşması (CVE-2022-29860), bir HTTP başlık ayrıştırma yığını taşma (CVE-2022-29861) ve bir HTTP sonrası istek işleme taşımı taşıyor.
Sorunlar eksik hata kontrollerinden, eksik doğrulama adımlarından ve uygun olmayan sınır kontrollerinden kaynaklanır.
Bu sorunlar kütüphanenin kendisinde değil, satıcının onu uyguladığı gibidir.
Armis, her ikisi de yüksek etkili siber saldırılara yol açan esir bir portaldan kaçmaya veya ağ segmentasyonuna izin veren iki ana sömürü senaryosu sunuyor.
Esir portal senaryosunda, saldırgan, kimlik doğrulama, ödeme veya başka bir erişim belirteci türü gerektiren sınırlı bir ağ kaynağının web sayfasına erişir. Bu esir portallar genellikle otel ağlarında, havaalanlarında ve iş merkezlerinde bulunur.
TLSTorm 2.0'tan yararlanarak, saldırgan, esir portalın kısıtlamalarını atlayarak veya hatta tamamen devre dışı bırakarak anahtarda kod kodunu yürütebilir.
İkinci senaryoda, bir saldırgan, ağ segmentasyonunu kırmak ve BT ağının herhangi bir bölümüne erişmek için güvenlik açıklarını kullanabilir ve “konuk” alanından “kurumsal” segmentine serbestçe dönebilir.
Armis, Aruba ve Avaya'ya üç ay önce Tlstorm 2.0 güvenlik açıkları hakkında bilgi verdi ve onlarla teknik düzeyde işbirliği yaptı.
Tehdit analistleri, BleepingComputer'a müşterilerin bilgilendirildiğini ve güvenlik açıklarının çoğunu ele alan yamaların yayınlandığını söyledi.
Buna ek olarak, Armis bize istismar edilen tlstorm 2.0 güvenlik açıklarının farkında olmadıklarını söyledi.
Synology çoklu ürünlerde kritik netatalk hataları uyarıyor
Erişim: 7 güvenlik açığı tıbbi ve IoT cihazlarını etkiler
QNAP, kullanıcıları kritik hataları düzeltene kadar AFP'yi devre dışı bırakmaları konusunda uyarır
Bilgisayar korsanları, backdoors yüklemek için kritik vmware rce kusurunu kullanır
Android'deki kritik hata, kullanıcıların medya dosyalarına erişim sağlayabilir
Kaynak: Bleeping Computer