La société de cybersécurité Armis a découvert en mars 2022 cinq vulnérabilités critiques dans environ dix millions de commutateurs Aruba (HPE) et d’Extreme Networks.
Selon le blog d’Armis, les bugs de type TLStorm 2.0 découverts dans ces commutateurs proviennent de failles logées dans une bibliothèque TLS (NanoSSL) développée par Mocana, une filiale de DigiCert. Leurs scores de gravité sont toutes très élevés car ils avoisinent les 10.
Barak Hadad, responsable de la recherche chez Armis, explique dans son blog que sa société a repéré deux failles dans les produits d’Aruba Series 5400R, 3810, 2920, 2930F, 2930M, 2530 et 2540. La CVE-2022-23676 est une vulnérabilité de corruption de la mémoire d’un client serveur avec le protocole d’authentification Radius. Quant à la CVE-2022-23677, elle concerne une faille sur Radius et sur les bibliothèques NanoSSL qui peut être aussi exploitée lors de la connexion à des portails captifs, tels que ceux que l’on utilise pour accéder au Wi-Fi d’une gare, d’un aéroport, etc. Ils essaient alors de vous sous-tirer des données personnelles. Des correctifs sont disponibles sur le site d’Aruba.
Armis a repéré les trois vulnérabilités « zéro-clic » sur les commutateurs Avaya. Tout d’abord, la CVE-2022-29860 : un débordement lors d’un réassemblage TLS qui émet une requête à distance que le serveur web ne valide pas correctement dans la NanoSSL. La CVE-2022-29861 effectue également une vérification impropre lors de la lecture des en-têtes HTTP. Enfin, la dernière concerne elle aussi le traitement de certaines requêtes HTTP, mais elle ne concerne que des produits qui ne sont plus au catalogue d’Avaya. Quant à ceux qui y sont toujours, les Avaya ERS3500, ERS3600, ERS4900 et ERS5900 sont concernés par les deux premières, mais des patchs sont déjà disponibles.