{"id":265014,"date":"2022-05-06T02:07:11","date_gmt":"2022-05-06T00:07:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265014"},"modified":"2023-06-22T14:49:46","modified_gmt":"2023-06-22T12:49:46","slug":"tlstorm-2-0-5-kritische-schwachstellen-in-netzwerk-switches","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/06\/tlstorm-2-0-5-kritische-schwachstellen-in-netzwerk-switches\/","title":{"rendered":"TLStorm 2.0: 5 kritische Schwachstellen in Netzwerk-Switches (Aruba und Avaya)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/05\/06\/tlstorm-2-0-5-kritische-schwachstellen-in-netzwerk-switches\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Netzwerkswitches von Aruba und Avaya sind durch 5 Schwachstellen f\u00fcr RCE-Angriffe anf\u00e4llig. Sicherheitsforscher des auf vernetzte Ger\u00e4te spezialisierten Unternehmens Armis, die die Schwachstellen entdeckten, nennen diese \"TLStorm 2.0\" &#8211; weil es bereits den Fall TLStorm gab (ich hatte diesen Artikel <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/08\/tlstorm-3-kritisch-0-day-schwachstellen-gefhrden-smart-ups-von-apc\/\">TLStorm: 3 kritische 0-day-Schwachstellen gef\u00e4hrden Smart-UPS von APC<\/a> zu der urspr\u00fcnglichen Entdeckung der Schwachstelle TLStorm bei intelligenten UPS-Einheiten hier im Blog ver\u00f6ffentlicht).<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/953adfec45f04015a38f73400581b2c7\" alt=\"\" width=\"1\" height=\"1\" \/>Bei TLStorm 2.0 handelt es sich um Sicherheitsl\u00fccken in der Implementierung von TLS-Kommunikation in mehreren Modellen von Netzwerk-Switches. Sie beruhen auf einem \u00e4hnlichen Designfehler wie die <a href=\"https:\/\/www.armis.com\/tlstorm\/\" target=\"_blank\" rel=\"noopener\">TLStorm<\/a>-Schwachstellen (die im M\u00e4rz 2022 von Armis entdeckt wurden, siehe <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/08\/tlstorm-3-kritisch-0-day-schwachstellen-gefhrden-smart-ups-von-apc\/\">TLStorm: 3 kritische 0-day-Schwachstellen gef\u00e4hrden Smart-UPS von APC<\/a>).<\/p>\n<blockquote><p>Der Anbieter Armis hat gleich drei kritische Zero-Day-L\u00fccken in Smart-UPS von APC entdeckt. Die als\u00a0<em>TLStorm<\/em>\u00a0bezeichneten Schwachstellen gef\u00e4hrden mehr als 20 Millionen Unternehmensger\u00e4te, die an (intelligenten) unterbrechungsfreien Stromversorgungen des Herstellers APC h\u00e4ngen. Die Schwachstellen in der Cloud-Anbindung in den weitverbreiteten unterbrechungsfreien SMAT-UPS Stromversorgungen dieses Anbieters k\u00f6nnten Angreifer bef\u00e4higen, Sicherheitsma\u00dfnahmen zu umgehen und kritische industrielle, medizinische und Unternehmensger\u00e4te per Fernzugriff zu \u00fcbernehmen oder zu besch\u00e4digen.<\/p><\/blockquote>\n<p>Die neuen Schwachstellen erweitern die Reichweite der von TLStorm Ger\u00e4te auf Millionen weiterer Netzwerkinfrastrukturger\u00e4te in Unternehmen.<\/p>\n<p>Die Hauptursache f\u00fcr diese Schwachstellen war ein Missbrauch von NanoSSL, einer beliebten TLS-Bibliothek von Mocana. Mithilfe der Armis Device Knowledgebase \u2013 einer Datenbank mit mehr als zwei Milliarden Assets \u2013 identifizierten die Sicherheitsforscher von Armis Dutzende von Ger\u00e4ten, die die NanoSSL-Bibliothek von Mocana verwenden. Die Ergebnisse umfassen nicht nur die Smart-UPS-Ger\u00e4te von APC, sondern auch zwei beliebte Netzwerk-Switch-Anbieter (Aruba und Avaya), die von einem \u00e4hnlichen Implementierungsfehler der Bibliothek betroffen sind. W\u00e4hrend sich USV-Ger\u00e4te und Netzwerk-Switches in ihrer Funktion und dem Grad des Vertrauens innerhalb des Netzwerks unterscheiden, k\u00f6nnen die zugrunde liegenden TLS-Implementierungsprobleme verheerende Folgen haben.<\/p>\n<h2>TLStorm 2.0-Studie<\/h2>\n<p>Die neue, von Armis erstellte TLStorm 2.0-Studie deckt Schwachstellen auf, die es einem Angreifer erm\u00f6glichen k\u00f6nnten, die vollst\u00e4ndige Kontrolle \u00fcber Netzwerk-Switches zu \u00fcbernehmen, die in Flugh\u00e4fen, Krankenh\u00e4usern, Hotels und anderen Organisationen weltweit eingesetzt werden. Die betroffenen Hersteller sind Aruba (von HPE \u00fcbernommen) und Avaya Networking (von Extreme Networks \u00fcbernommen).<\/p>\n<p>Die Sicherheitsforscher fanden bei beiden Herstellern Switches, die anf\u00e4llig f\u00fcr Remote Code Execution (RCE)-Schwachstellen sind, die \u00fcber das Netzwerk ausgenutzt werden k\u00f6nnen, was zu Folgendem f\u00fchrt:<\/p>\n<ul>\n<li>Aufbrechen der Netzwerksegmentierung, so dass durch \u00c4nderung des Switch-Verhaltens ein \u00dcbergreifen auf weitere Ger\u00e4te m\u00f6glich ist<\/li>\n<li>Datenexfiltration von Unternehmensnetzwerkverkehr oder sensiblen Informationen aus dem internen Netzwerk in das Internet<\/li>\n<li>Ausbruch aus dem \u201eCaptive Portal\"<\/li>\n<\/ul>\n<p>Diese Erkenntnisse verdeutlichen, dass durch TLStorm 2.0\u00a0 die Netzinfrastruktur selbst gef\u00e4hrdet ist und von Angreifern ausgenutzt werden kann. Dies wiederum bedeutet, dass eine Netzsegmentierung allein als Sicherheitsma\u00dfnahme nicht mehr ausreicht. Barak Hadad, Head of Research bei Armis sagt dazu:<\/p>\n<blockquote><p>Die Sicherheitsforschung bei Armis wird von einem einfachen Ziel angetrieben: Aufkommende Sicherheitsbedrohungen zu identifizieren, um unseren Kunden einen kontinuierlichen Schutz in Echtzeit zu bieten. Die TLStorm-Schwachstellen sind ein Paradebeispiel f\u00fcr Bedrohungen von Assets, die bisher f\u00fcr die meisten Sicherheitsl\u00f6sungen nicht sichtbar waren, und zeigen, dass eine Netzwerksegmentierung nicht mehr ausreicht und eine proaktive Netzwerk\u00fcberwachung unerl\u00e4sslich ist. Die Sicherheitsforscher von Armis werden weiterhin Assets in allen Umgebungen untersuchen, um sicherzustellen, dass unsere Wissensdatenbank mit mehr als zwei Milliarden Assets allen unseren Partnern und Kunden die neuesten Bedrohungsabwehrma\u00dfnahmen zur Verf\u00fcgung stellt.<\/p><\/blockquote>\n<h3>Captive Portals<\/h3>\n<p>Ein Captive Portal ist die Webseite, die neu verbundenen Benutzern eines Wi-Fi- oder kabelgebundenen Netzwerks angezeigt wird, bevor ihnen ein umfassenderer Zugriff auf Netzwerkressourcen gew\u00e4hrt wird. Captive Portals werden \u00fcblicherweise verwendet, um eine Anmeldeseite zu pr\u00e4sentieren, die eine Authentifizierung, Zahlung oder andere g\u00fcltige Anmeldeinformationen erfordert, denen sowohl der Host als auch der Benutzer zustimmen. Captive Portals erm\u00f6glichen den Zugang zu einer breiten Palette von mobilen und \"Pedestrian\"-Breitbanddiensten, einschlie\u00dflich Kabel- und kommerziell bereitgestelltem Wi-Fi und Heim-Hotspots sowie kabelgebundenen Netzwerken in Unternehmen oder Privathaushalten, z. B. in Apartmentkomplexen, Hotelzimmern und Gesch\u00e4ftszentren.<\/p>\n<p>Unter Ausnutzung der TLStorm 2.0-Schwachstellen kann ein Angreifer das Captive Portal missbrauchen und Remote-Code-Ausf\u00fchrung \u00fcber den Switch erlangen, ohne dass eine Authentifizierung erforderlich ist. Sobald der Angreifer die Kontrolle \u00fcber den Switch erlangt hat, kann er das Captive Portal vollst\u00e4ndig deaktivieren und lateral in das Unternehmensnetzwerk eindringen.<\/p>\n<h2>Schwachstellendetails und betroffene Ger\u00e4tetypen<\/h2>\n<h3>Aruba<\/h3>\n<p>In Aruba Netzwerkswitches gibt es die Schwachstelle <strong>CVE-2022-23677 (CVSS Score 9,0) in der NanoSSL-Bibliothek<\/strong>, die einen NanoSSL-Missbrauch bei verschiedenen Interfaces (RCE) erm\u00f6glicht. Die oben erw\u00e4hnte NanoSSL-Bibliothek wird in der Firmware von Aruba-Switches f\u00fcr mehrere Zwecke verwendet. Es gibt zwei Hauptanwendungsf\u00e4lle, bei denen die mit der NanoSSL-Bibliothek hergestellte TLS-Verbindung nicht sicher ist und zu RCE f\u00fchren kann:<\/p>\n<ul>\n<li>\n<h5>Captive Portal \u2013 Ein Benutzer des Captive Portals kann vor der Authentifizierung die Kontrolle \u00fcber den Switch \u00fcbernehmen.<\/h5>\n<\/li>\n<li>\n<h5>RADIUS-Authentifizierungs-Client \u2013 Eine Schwachstelle in der RADIUS-Verbindungspr\u00fcfung k\u00f6nnte es einem Angreifer erm\u00f6glichen, die RADIUS-Verbindung \u00fcber einen Man-in-the-Middle-Angriff abzufangen und ohne Benutzerinteraktion einen RCE \u00fcber den Switch zu erlangen.<\/h5>\n<\/li>\n<\/ul>\n<p>Weiterhin gibt es <strong>CVE-2022-23676 (CVSS Score 9,1) in der Radius-Implementierung<\/strong> in Form von RADIUS Client Memory Corruption-Schwachstellen. RADIUS ist ein Client\/Server-Protokoll zur Authentifizierung, Autorisierung und Abrechnung (AAA), das die zentrale Authentifizierung von Benutzern erm\u00f6glicht, die versuchen, auf einen Netzdienst zuzugreifen. Der RADIUS-Server antwortet auf Zugriffsanfragen von Netzwerkdiensten, die als Clients fungieren. Der RADIUS-Server pr\u00fcft die Informationen in der Zugriffsanfrage und antwortet mit der Genehmigung des Zugriffsversuchs, einer Ablehnung oder einer Aufforderung zur Einholung weiterer Informationen.<\/p>\n<p>In der RADIUS-Client-Implementierung des Switches gibt es zwei Schwachstellen in Bezug auf Speicherkorruption; sie f\u00fchren zu Heap-\u00dcberl\u00e4ufen von Daten, die von Angreifern kontrolliert werden. Dies kann es einem b\u00f6swilligen RADIUS-Server oder einem Angreifer mit Zugriff auf das gemeinsame RADIUS-Geheimnis erm\u00f6glichen, aus der Ferne Code auf dem Switch auszuf\u00fchren.<\/p>\n<p>Aruba-Ger\u00e4te, die von TLStorm 2.0 betroffen sind:<\/p>\n<ul>\n<li>Aruba 5400R Series<\/li>\n<li>Aruba 3810 Series<\/li>\n<li>Aruba 2920 Series<\/li>\n<li>Aruba 2930F Series<\/li>\n<li>Aruba 2930M Series<\/li>\n<li>Aruba 2530 Series<\/li>\n<li>Aruba 2540 Series<\/li>\n<\/ul>\n<h3>Sicherheitsl\u00fccken im Avaya Management Interface vor der Authentifizierung<\/h3>\n<p>Die Angriffsfl\u00e4che f\u00fcr alle drei Schwachstellen der Avaya-Switches ist das Web-Management-Portal, und keine der Schwachstellen erfordert eine Art der Authentifizierung, was sie zu einer Zero-Click-Schwachstellengruppe macht.<\/p>\n<p><strong>CVE-2022-29860 (CVSS Score 9,8) &#8211; TLS Reassembly Heap Overflow<\/strong><\/p>\n<p>Dies ist eine \u00e4hnliche Sicherheitsl\u00fccke wie CVE-2022-22805, die Armis in APC Smart-UPS-Ger\u00e4ten gefunden hat. Der Prozess, der POST-Anfragen auf dem Webserver verarbeitet, validiert die NanoSSL-R\u00fcckgabewerte nicht ordnungsgem\u00e4\u00df, was zu einem \u201eHeap Overflow\" f\u00fchrt, der zur Remote Code-Ausf\u00fchrung f\u00fchren kann.<\/p>\n<p><strong>CVE-2022-29861 (CVSS Score 9,8) &#8211; HTTP Header Parsing Stack Overflow<\/strong><\/p>\n<p>Eine unsachgem\u00e4\u00dfe Begrenzungspr\u00fcfung bei der Behandlung von mehrteiligen Formulardaten in Kombination mit einer Zeichenkette, die nicht null-terminiert ist, f\u00fchrt zu einem vom Angreifer kontrollierten \u201eStack Overflow\", der zu einem RCE f\u00fchren kann.<\/p>\n<p><strong>HTTP POST Request Handling Heap Overflow<\/strong><\/p>\n<p>Eine Schwachstelle in der Behandlung von HTTP-POST-Anfragen aufgrund fehlender Fehlerpr\u00fcfungen der Mocana-NanoSSL-Bibliothek f\u00fchrt zu einem \u201eHeap Overflow\" mit vom Angreifer kontrollierter L\u00e4nge, was zu einem RCE f\u00fchren kann. Diese Schwachstelle hat kein CVE, da sie in einer aufgek\u00fcndigten Produktlinie von Avaya gefunden wurde. Dies bedeutet, dass kein Patch herausgegeben wird, um diese Schwachstelle zu beheben, obwohl Daten von Armis zeigen, dass diese Ger\u00e4te immer noch in freier Wildbahn gefunden werden k\u00f6nnen.<\/p>\n<p>Avaya-Ger\u00e4te, die von TLStorm 2.0 betroffen sind:<\/p>\n<ul>\n<li>ERS3500 Series<\/li>\n<li>ERS3600 Series<\/li>\n<li>ERS4900 Series<\/li>\n<li>ERS5900 Series<\/li>\n<\/ul>\n<h2>Updates und Abhilfema\u00dfnahmen<\/h2>\n<p>Aruba und Avaya haben in dieser Angelegenheit mit Armis zusammengearbeitet. Die Kunden wurden benachrichtigt und erhielten Patches, um die meisten der Schwachstellen zu beheben. Nach Armis' Kenntnisstand gibt es keine Hinweise darauf, dass die TLStorm 2.0-Schwachstellen ausgenutzt wurden.<\/p>\n<ul>\n<li>Unternehmen, die betroffene Aruba-Ger\u00e4te einsetzen, sollten die betroffenen Ger\u00e4te sofort mit Patches aus dem Aruba Support Portal <a href=\"https:\/\/asp.arubanetworks.com\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> patchen.<\/li>\n<li>Unternehmen, die betroffene Avaya-Ger\u00e4te einsetzen, sollten die Sicherheitshinweise sofort im Avaya Support Portal <a href=\"https:\/\/extremeportal.force.com\/ExtrSupportHome\" target=\"_blank\" rel=\"noopener\">hier<\/a> \u00fcberpr\u00fcfen.<\/li>\n<\/ul>\n<p>Armis-Experten werden die Ergebnisse der TLStorm-Analyse auf der Black Hat Asia 2022 (10. bis 13. Mai 2022) unter dem Titel <a href=\"https:\/\/www.blackhat.com\/asia-22\/briefings\/schedule\/index.html#like-lightning-from-the-cloud-finding-rces-in-an-embedded-tls-library-and-toasting-a-popular-cloud-connected-ups-25927\" target=\"_blank\" rel=\"noopener\">Like Lightning From the Cloud: Finding RCEs in an Embedded TLS Library and Toasting a Popular Cloud-connected UPS<\/a> pr\u00e4sentieren. Dazu hei\u00dft es in der Vorank\u00fcndigung:<\/p>\n<blockquote><p>Moderne, mit der Cloud verbundene Ger\u00e4te basieren auf einer einzigen TLS-Verbindung zur Cloud, \u00fcber die sie gesteuert werden k\u00f6nnen. Die Interaktion mit dem lokalen Netz ist auf ein absolutes Minimum beschr\u00e4nkt, was die Angriffsfl\u00e4che der Ger\u00e4te einschr\u00e4nkt. Dies stellt eine gro\u00dfe Belastung f\u00fcr die Sicherheit der TLS-Implementierung selbst dar, da jeder darin gefundene Fehler einem Angreifer aus dem Internet die M\u00f6glichkeit gibt, die mit der Cloud verbundenen Ger\u00e4te zu missbrauchen und potenziell in jedes Netzwerk einzudringen, in dem solche Ger\u00e4te installiert sind.<\/p>\n<p>Vor diesem Hintergrund haben wir uns entschlossen, ein weit verbreitetes, mit der Cloud verbundenes USV-Ger\u00e4t zu untersuchen, und haben kritische Schwachstellen in seiner TLS-Implementierung entdeckt, die in einer Phase vor der Authentifizierung zur Ausf\u00fchrung von Remote-Code f\u00fchren k\u00f6nnen. Die Ausnutzung dieser Schwachstellen k\u00f6nnte es Angreifern erm\u00f6glichen, aus der Ferne die Stromversorgung betroffener Unternehmen direkt aus dem Internet zu \u00fcbernehmen.<\/p>\n<p>Der Vortrag wird sich damit befassen, wie es uns gelungen ist, Hardware-Abschw\u00e4chungen zu umgehen und die Verschl\u00fcsselung der USV-Firmware zu knacken, was zur Entdeckung von zwei Fehlern in der TLS-Implementierung des Ger\u00e4ts f\u00fchrte. Einer dieser Fehler kann es einem Angreifer erm\u00f6glichen, sich als der vertrauensw\u00fcrdige UPS-Cloud-Dienst auszugeben, w\u00e4hrend der zweite Fehler eine Heap-Besch\u00e4digung in der TLS-Reassembly-Routine ist. Beide Fehler k\u00f6nnen zu einer Remote-Code-Ausf\u00fchrung f\u00fchren. Durch die Kontrolle eines USV-Ger\u00e4ts konnten wir das Innenleben des von ihm verwalteten AC\\DC-Subsystems untersuchen und das zerst\u00f6rerische Potenzial unserer Erkenntnisse demonstrieren. Wir werden demonstrieren, wie dieser Angriff das USV-Ger\u00e4t selbst und seine nachgeschalteten Ger\u00e4te sch\u00e4digen kann.<\/p>\n<p>Die Analyse der entdeckten Schwachstellen hat ergeben, dass sie auf die unsachgem\u00e4\u00dfe Verwendung einer TLS-Bibliothek eines Drittanbieters zur\u00fcckzuf\u00fchren sind, die von einer Vielzahl von Industriesteuerungen, Netzwerkger\u00e4ten und anderen mit der Cloud verbundenen Ger\u00e4ten verwendet wird. Zum Abschluss unseres Vortrags werden wir eine Analyse der verwundbaren Anwendungen vorstellen, bei denen eine Schwachstelle gefunden wurde, und die wichtigsten Erkenntnisse \u00fcber die Sicherheit von eingebetteten TLS-Implementierungen erl\u00e4utern.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>[English]Netzwerkswitches von Aruba und Avaya sind durch 5 Schwachstellen f\u00fcr RCE-Angriffe anf\u00e4llig. Sicherheitsforscher des auf vernetzte Ger\u00e4te spezialisierten Unternehmens Armis, die die Schwachstellen entdeckten, nennen diese \"TLStorm 2.0\" &#8211; weil es bereits den Fall TLStorm gab (ich hatte diesen Artikel &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/06\/tlstorm-2-0-5-kritische-schwachstellen-in-netzwerk-switches\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[3081,4328],"class_list":["post-265014","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-geraete","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265014","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265014"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265014\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265014"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265014"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265014"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}