Ces vulnérabilités qui affectent les switches et les onduleurs, peuvent menacer le système d’information des entreprises en s’attaquant, par exemple, à la segmentation des réseaux. Les fournisseurs concernés sont Aruba (HPE), Avaya Networking (ExtremeNetworks) ainsi qu’APC (Schneider Electric).
En mars 2022, les chercheurs d’Armis, plateforme de protection en temps réel des systèmes d’information, découvraient 3 failles dans l’implémentation de TLS (Transport Layer Security), le protocole de sécurisation des communications réseau TLS dans les onduleurs d’APC. Ces vulnérabilités, nommées TLS Storm, touchent la connexion entre le périphérique d’alimentation réseau Smart-UPS et la fonction SmartConnect disponible le Cloud de Schneider Electric. Concrètement, elles permettent à un pirate de prendre le contrôle des onduleurs Smart-UPS depuis Internet, sans intervention de l'utilisateur, ce qui peut provoquer une surcharge de l'onduleur susceptible alors de partir en fumée. Ce problème d’implémentation est issu d’une utilisation incorrecte de NanoSSL, une bibliothèque TLS Mocana très répandue. A partir de la base de connaissances d’Armis qui répertorie plus de deux milliards d’équipements, ses experts ont identifié des dizaines de périphériques qui font appel à la bibliothèque NanoSSL Mocana.
Outre les onduleurs APC Smart-UPS, la faille initiale TLStorm, rebaptisée TLStorm 2.0, concerne à présent deux fournisseurs de commutateurs réseau très utilisés, Aruba (racheté par HPE) et Avaya Networking (racheté par ExtremeNetworks). Les conséquences de ce défaut d’implémentation peuvent s’étendre au contrôle total des commutateurs réseau utilisés dans les aéroports, les hôpitaux, les hôtels ou d'autres entreprises, partout dans le monde.
Ce défaut de conception élargit désormais le champ d'action de TLStorm à des millions de périphériques de réseaux d'entreprise supplémentaires dans le monde entier.
Une vulnérabilité potentiellement exploitable par l’exécution de code à distance
Les conséquences d’une commande distante RCE (Remote Code Execution), en cause dans la faille TLStorm 2.0, a plusieurs conséquences possibles.
D’une part, la rupture de la segmentation réseau, ce qui permettrait d’affecter des périphériques supplémentaires, en modifiant le comportement du commutateur.
Le deuxième point critique concerne l’exfiltration de données présentes dans les flux des réseaux d'entreprise, notamment les informations sensibles disponibles sur le SI, avec le risque de fuites sur Internet.
Autres cibles potentielles, les pages web d’authentification des portails publics et privés, comme les points d'accès câblés ou Wi-Fi du commerce, et points d'accès à domicile, ainsi que les réseaux filaires d'entreprise ou résidentiels, comme ceux des immeubles en copropriété, des chambres d'hôtel ou des centres d'affaires. Grâce à la faille TLS Storm 2.0, un pirate peut exécuter du distance sur le commutateur, sans avoir besoin de s'authentifier. Il peut alors explorer le réseau de l'entreprise.
Aruba et Avaya ont travaillé en collaboration avec Armis sur le sujet. Leurs clients ont été avertis et ont reçu des correctifs pour corriger la plupart de ces vulnérabilités. A ce jour, il n'y a aucune indication que les vulnérabilités TLStorm 2.0 aient été exploitées.