Исследователи безопасности из Armis обнаружили 5 критических уязвимостей удалённого выполнения кода в миллионах устройств Aruba и Avaya. Данные устройства обычно используются в аэропортах, больницах, отелях.
Уязвимости получили общее название TLStorm 2.0. Основной причиной этих ошибок является неправильное использование библиотеки NanoSSL — популярной TLS библиотеки от Mocana. Библиотеку Mocana NanoSSL используют десятки моделей устройств.
«Некоторые уязвимости могут быть вызваны без аутентификации и взаимодействия с пользователем, и именно поэтому они настолько серьезны», — заявил глава отдела исследований Armis.
В общем числе уязвимости затрагивают около 10 миллионов коммутаторов HPE Aruba и Extreme Networks Avaya. Краткий список задокументированных уязвимостей: CVE-2022-23677 (оценка CVSS 9,0), CVE-2022-23676 (9,1 балла CVSS), CVE-2022-29860 (CVSS 9.8), CVE-2022-29861 (CVSS 9.8). Компаниями уже выпущены исправления для большинства уязвимостей.