NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in switches van Avaya en
                  Aruba Networks
Advisory ID     : NCSC-2022-0321
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2022-23676, CVE-2022-23677, CVE-2022-29860,
                  CVE-2022-29861
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  (Remote) code execution (Administrator/Root rechten)
Uitgiftedatum   : 20220503
Toepassing      : Aruba Switches
                  Avaya ERS
Versie(s)       :
Platform(s)     :

Beschrijving
   Onderzoekers van cybersecuritybedrijf Armis hebben kwetsbaarheden
   ontdekt in implementaties van de NanoSSL-library. Armis heeft
   ontdekt dat in bepaalde netwerkapparatuur van Aruba en Avaya
   foutmeldingen niet goed worden verwerkt waardoor er
   beveiligingsproblemen optreden. Eerder heeft Armis soort gelijke
   kwetsbaarheden gevonden in UPS-systemen zoals beschreven in
   beveiligingsadvies NCSC-2022-0164.

   Aruba:
   De kwetsbaarheid met kenmerk CVE-2022-23676 bevindt zich in de
   implementatie van RADIUS, een authenticatie protocol. Een aanvaller
   die over een malafide RADIUS-server beschikt of de gedeelde secret
   kent, kan de kwetsbaarheid misbruiken voor het uitvoeren van
   willekeurige code op de switch.

   De kwetsbaarheid met kenmerk CVE-2022-23677 kan door een
   kwaadwillende worden misbruikt om willekeurige code uit te voeren.
   Hiertoe is toegang vereist tot het "captive portal", het portaal
   waar gebruikers kunnen inloggen als zij verbinding maken met
   bijvoorbeeld een Wi-Fi omgeving. De kwetsbaarheid kan ook worden
   misbruikt wanneer de kwaadwillende over een
   man-in-the-middle-positie beschikt tussen de switch en de
   RADIUS-server.

   Avaya (Extreme Networks):
   In de management-interface van verschillende Avaya-switches zitten
   drie kwetsbaarheden met kenmerk CVE-2022-29860, CVE-2022-29861 en
   een kwetsbaarheid zonder CVE-kenmerk. De drie kwetsbaarheden stellen
   een kwaadwillende op afstand in staat willekeurige code uit te
   voeren. Het is goed gebruik om management-interfaces niet via een
   publiek benaderbaar netwerk te ontsluiten. De derde kwetsbaarheid
   heeft geen CVE-kenmerk gekregen omdat het is gevonden in End-of-Life
   producten van Avaya die geen update meer zullen krijgen.

   Op dit moment zijn er nog geen signalen dat deze kwetsbaarheden
   actief worden misbruikt.

   Armis heeft een blogpost gepubliceerd over deze kwetsbaarheden. Zie
   voor meer informatie:

   https://www.armis.com/blog
      /tlstorm-2-nanossl-tls-library-misuse-leads-to-vulnerabilities-in
      -common-switches

Mogelijke oplossingen
   Aruba heeft publiek geen informatie over oplossingen voor de
   kwetsbaarheden gedeeld. Armis verwijst klanten van Aruba door naar
   Aruba's Support Portal:

   https://asp.arubanetworks.com/

   Extreme Networks heeft updates uitgebracht om de kwetsbaarheden in
   Avaya-switches te verhelpen. Meer informatie kunt u vinden op
   onderstaande pagina:

   CVE-2022-29860:
   https://extremeportal.force.com
      /ExtrArticleDetail?an=000104247&q=CVE-2022-29860

   CVE-2022-29861:
   https://extremeportal.force.com
      /ExtrArticleDetail?an=000104248&q=CVE-2022-29861

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=+IUR
-----END PGP SIGNATURE-----