Schwachstellen in Aruba-, Avaya- und APC-UPS-Systemen TLStorm: Malware-Tore in Netzwerk-Switches und USV-Anlagen

Quelle: Pressemitteilung

Es betrifft etwa die „Smart-UPS“-Geräte von APC; denn im März 2022 hat Asset-Visibility- und Sicherheits-Spezialist Armis erstmals „TLStorm“ bekannt gemacht, mit drei kritischen Schwachstellen in diesen Geräten. Diese erlauben einem Angreifer aus dem Internet, über die Geräte Kontrolle zu erlangen: Die USV wird überlastet und zerstört sich schließlich in einer Rauchwolke selbst. Jetzt gibt es „TLStorm 2.0“.

Anbieter zum Thema

Es braucht nur einen kleinen Zugang, um eine Unterbrechungsfreie Stromversorgung oder Netzwerk-Switches und mehr lahm zu legen.
Es braucht nur einen kleinen Zugang, um eine Unterbrechungsfreie Stromversorgung oder Netzwerk-Switches und mehr lahm zu legen.
(Bild: gemeinfrei: 0fjd125gk87 / Pixabay )

Armis hat TLStorm 2.0 und damit fünf kritische Schwachstellen in Netzwerk-Switches entdeckt. Diese ermöglichen es Angreifern, Sicherheitsfunktionen wie die Netzwerksegmentierung zu umgehen und sich Zugang zu wichtigen Systemen zu verschaffen. Die neuen Sicherheitslücken in der Implementierung von TLS-Kommunikation in mehreren Modellen von Netzwerk-Switches beruhen laur Armis auf einem ähnlichen Designfehler, der bereits bekannten TLStorm-Schwachstellen. Allerdings erweitern sie die Reichweite von TLStorm auf Millionen weiterer Netzwerkinfrastrukturgeräte in Unternehmen.

Die Hauptursache für die ersten drei entdeckten Schwachstellen war ein Missbrauch von „NanoSSL“, einer TLS-Bibliothek von Mocana. Mithilfe der „Armis Device Knowledgebase“, einer Datenbank mit mehr als zwei Milliarden Assets, haben die Sicherheitsforscher von Armis Dutzende von Geräten identifiziert, die die NanoSSL-Bibliothek von Mocana verwenden.

Die Ergebnisse umfassen nicht nur die Smart-UPS-Geräte von APC, sondern etwa auch zwei beliebte Netzwerk-Switch-Anbieter, die von einem ähnlichen Implementierungsfehler der Bibliothek betroffen sind. Während sich USV-Geräte und Netzwerk-Switches in ihrer Funktion und dem Grad des Vertrauens innerhalb des Netzwerks unterscheiden, können die zugrunde liegenden TLS-Implementierungsprobleme verheerende Folgen haben.

Die jetzige TLStorm-Studie deckt Schwachstellen auf, die es einem Angreifer ermöglichen könnten, die vollständige Kontrolle über Netzwerk-Switches zu übernehmen, die in Flughäfen, Krankenhäusern, Hotels und anderen Organisationen weltweit eingesetzt werden. Die betroffenen Hersteller sind Aruba (von HPE übernommen) und Avaya Networking (von Extreme Networks übernommen). Die Sicherheitsforscher fanden bei beiden Herstellern Switches, die anfällig für Remote Code Execution (RCE)-Schwachstellen sind, die über das Netzwerk ausgenutzt werden können, was zu Folgendem führt:

  • Aufbrechen der Netzwerksegmentierung, so dass durch Änderung des Switch-Verhaltens ein Übergreifen auf weitere Geräte möglich ist
  • Datenexfiltration von Unternehmensnetzwerkverkehr oder sensiblen Informationen aus dem internen Netzwerk in das Internet
  • Ausbruch aus dem „Captive Portal“

Diese Forschungsergebnisse seien insofern beachtenswert, als sie deutlich machten, dass die Netzinfrastruktur selbst gefährdet sei und von Angreifern ausgenutzt werden können. Dies wiederum bedeutet, dass eine Netzsegmentierung allein als Sicherheitsmaßnahme nicht ausreicht.

„Die Sicherheitsforschung bei Armis wird von einem einfachen Ziel angetrieben: Aufkommende Sicherheitsbedrohungen zu identifizieren, um unseren Kunden einen kontinuierlichen Schutz in Echtzeit zu bieten“, sagt Barak Hadad, Head of Research bei Armis.
„Die Sicherheitsforschung bei Armis wird von einem einfachen Ziel angetrieben: Aufkommende Sicherheitsbedrohungen zu identifizieren, um unseren Kunden einen kontinuierlichen Schutz in Echtzeit zu bieten“, sagt Barak Hadad, Head of Research bei Armis.
(Bild: Armis)

Barak Hadad, Head of Research bei Armis, sagt: „Die TLStorm-Schwachstellen sind ein Paradebeispiel für Bedrohungen von Assets, die bisher für die meisten Sicherheitslösungen nicht sichtbar waren, und zeigen, dass eine Netzwerksegmentierung nicht mehr ausreicht und eine proaktive Netzwerküberwachung unerlässlich ist.“

Captive Portals

Ein Captive Portal ist die Webseite, die neu verbundenen Benutzern eines Wi-Fi- oder kabelgebundenen Netzwerks angezeigt wird, bevor ihnen ein umfassenderer Zugriff auf Netzwerkressourcen gewährt wird. Captive Portals werden üblicherweise verwendet, um eine Anmeldeseite zu präsentieren, die eine Authentifizierung, Zahlung oder andere gültige Anmeldeinformationen erfordert, denen sowohl der Host als auch der Benutzer zustimmen. Sie ermöglichen den Zugang zu einer breiten Palette von mobilen und „Pedestrian“-Breitbanddiensten, einschließlich Kabel- und kommerziell bereitgestelltem Wi-Fi und Heim-Hotspots sowie kabelgebundenen Netzwerken in Unternehmen oder Privathaushalten.

Unter Ausnutzung der TLStorm 2.0-Schwachstellen kann ein Angreifer das Captive Portal missbrauchen und Remote-Code-Ausführung über den Switch erlangen, ohne dass eine Authentifizierung erforderlich ist. Sobald Angreifer die Kontrolle über den Switch erlangt haben, können sie das Captive Portal vollständig deaktivieren und lateral in das Unternehmensnetzwerk eindringen.

Die betroffenen Gerätetypen

1. Aruba

  • Aruba 5400R Series
  • Aruba 3810 Series
  • Aruba 2920 Series
  • Aruba 2930F Series
  • Aruba 2930M Series
  • Aruba 2530 Series
  • Aruba 2540 Series

Sicherheitslücken im Avaya Management Interface vor der Authentifizierung

Die Angriffsfläche für alle drei Schwachstellen der Avaya-Switches ist das Web-Management-Portal, und keine der Schwachstellen erfordert eine Art der Authentifizierung, was sie zu einer Zero-Click-Schwachstellengruppe macht. Avaya-Geräte, die von TLStorm 2.0 betroffen sind:

  • ERS3500 Series
  • ERS3600 Series
  • ERS4900 Series
  • ERS5900 Series

Ergänzendes zum Thema
Über Armis

Armis ist eine Unified Asset Visibility- und Security-Plattform des gleichnamigen private Unternehmen mit Hauptsitz in Palo Alto. Es geht um kontinuierlichen Schutz in Echtzeit, um alle verwalteten und nicht verwalteten Assets in den Bereichen IT, Cloud, IoT-Geräte, medizinische Geräte (IoMT), Betriebstechnologie (OT), industrielle Kontrollsysteme (ICS) und 5G mit vollem Kontext zu sehen. Armis bietet passives und unvergleichliches Cybersecurity Asset Management, Risiko-Management und automatisierte Durchsetzung.

Artikelfiles und Artikellinks

(ID:48289440)