NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden verholpen in switches van Avaya en
                  Aruba Networks
Advisory ID     : NCSC-2022-0321
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2022-23676, CVE-2022-23677, CVE-2022-29860,
                  CVE-2022-29861
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  (Remote) code execution (Administrator/Root rechten)
Uitgiftedatum   : 20220504
Toepassing      : Aruba Switches
                  Avaya ERS
Versie(s)       :
Platform(s)     :

Update
   Aruba Networks heeft inmiddels een beveiligingsadvies uitgebracht
   voor de kwetsbaarheden met kenmerk CVE-2022-23676 en CVE-2022-23677.
   Zie "Mogelijke oplossingen" voor meer informatie.

Beschrijving
   Onderzoekers van cybersecuritybedrijf Armis hebben kwetsbaarheden
   ontdekt in implementaties van de NanoSSL-library. Armis heeft
   ontdekt dat in bepaalde netwerkapparatuur van Aruba en Avaya
   foutmeldingen niet goed worden verwerkt waardoor er
   beveiligingsproblemen optreden. Eerder heeft Armis soort gelijke
   kwetsbaarheden gevonden in UPS-systemen zoals beschreven in
   beveiligingsadvies NCSC-2022-0164.

   Aruba:
   De kwetsbaarheid met kenmerk CVE-2022-23676 bevindt zich in de
   implementatie van RADIUS, een authenticatie protocol. Een aanvaller
   die over een malafide RADIUS-server beschikt of de gedeelde secret
   kent, kan de kwetsbaarheid misbruiken voor het uitvoeren van
   willekeurige code op de switch.

   De kwetsbaarheid met kenmerk CVE-2022-23677 kan door een
   kwaadwillende worden misbruikt om willekeurige code uit te voeren.
   Hiertoe is toegang vereist tot het "captive portal", het portaal
   waar gebruikers kunnen inloggen als zij verbinding maken met
   bijvoorbeeld een Wi-Fi omgeving. De kwetsbaarheid kan ook worden
   misbruikt wanneer de kwaadwillende over een
   man-in-the-middle-positie beschikt tussen de switch en de
   RADIUS-server.

   Avaya (Extreme Networks):
   In de management-interface van verschillende Avaya-switches zitten
   drie kwetsbaarheden met kenmerk CVE-2022-29860, CVE-2022-29861 en
   een kwetsbaarheid zonder CVE-kenmerk. De drie kwetsbaarheden stellen
   een kwaadwillende op afstand in staat willekeurige code uit te
   voeren. Het is goed gebruik om management-interfaces niet via een
   publiek benaderbaar netwerk te ontsluiten. De derde kwetsbaarheid
   heeft geen CVE-kenmerk gekregen omdat het is gevonden in End-of-Life
   producten van Avaya die geen update meer zullen krijgen.

   Op dit moment zijn er nog geen signalen dat deze kwetsbaarheden
   actief worden misbruikt.

   Armis heeft een blogpost gepubliceerd over deze kwetsbaarheden. Zie
   voor meer informatie:

   https://www.armis.com/blog
      /tlstorm-2-nanossl-tls-library-misuse-leads-to-vulnerabilities-in
      -common-switches

Mogelijke oplossingen
   -= Aruba Networks =-
   Aruba Networks heeft updates uitgebracht om de kwetsbaarheden te
   verhelpen. Meer informatie kunt u vinden op onderstaande pagina:

   https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-008.txt

   -= Extreme Networks =-
   Extreme Networks heeft updates uitgebracht om de kwetsbaarheden in
   Avaya-switches te verhelpen. Meer informatie kunt u vinden op
   onderstaande pagina:

   CVE-2022-29860:
   https://extremeportal.force.com
      /ExtrArticleDetail?an=000104247&q=CVE-2022-29860

   CVE-2022-29861:
   https://extremeportal.force.com
      /ExtrArticleDetail?an=000104248&q=CVE-2022-29861

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8

wsDVAwUBYnJkdhypWqw/ZiuAAQop/gv/XNLuT1ci7oUrkKg4Swshh7jlRHTftebf
vfgvhCVGPGhKkGitiHlcaMzsvz6MNCHX+V2DrQdQblBnX2Wr/6kBdjxWuRC9mGUO
+vv0MX/hOGOHTiWDtV2Xh8XtHLcE2pGRaa0Y8Kf82IZo+LiXhJR4pOnbCTTwXlGc
zS/Y/1LyIF7mW7LNOHqB8QrBpWEQut9KNIzktrJ8nzLP3aqBDvmM434RjoX9uwwD
lU1wt/J1wdeBqpxkKq+Qzu6znL8aJmi+ffCeBdz5aLEjgl7Ez2N9RpXGmVRu69Jx
dibgBS03Hqqc09b/PMBl+66WrtpKJOSHtL1S6Lj+WWF1YwqiH8EFrsFo2himxIiR
URLkWp2EDmCa20CqOmaNI6f7J9QQv0KHTx2llNcFP0rFoB8ga5KV9vSQJwUtuomx
g3in2ikIqC3i6xutvBzSha0mXxPBkHcImnBcV962YJFoUl2DAsy2moWc9QcWWXQA
a3iUK+GLw9qJAe5gegpBCytjxUj9WwYV
=InDQ
-----END PGP SIGNATURE-----