ארמיס, החברה העוסקת בזיהוי ואבטחת נכסי רשת ארגוניים, הודיעה על חשיפת 5 חולשות קריטיות במכונות TLStorm 2.0 הנובעות משימוש לא תקין בספריית תקשורת TLS במודלים רבים של מתגי רשת. החולשות נובעות מפגם עיצובי דומה לזה שזוהה בחולשות TLStorm (שנחשפו מוקדם יותר השנה ע"י ארמיס), והוא מרחיב את השפעת TLStorm למיליונים נוספים של תשתיות רשת ארגוניות. מדובר בתגלית שמצביעה על סכנה ללקוחותיהם ל המוסדות שמשתמשים בשירותי המכונות הללו.
נזכיר כי במרץ, ארמיס חשפה לראשונה את TLStorm – 3 חולשות קריטיות במכשירי אל פסק מסוג APC Smart-UPS. החולשות איפשרו לתוקף להשתלט מרחוק על מכשירים דרך האינטרנט ללא צורך באינטראקציה עם משתמש, ובנוסף מאפשרות לתוקף ליצור עומס יתר על ה-UPS שיכול להוביל להרס של הUPS. הסיבה לחולשות אלו היתה שימוש בלתי ראוי ב-NanoSSL, ספריית TLS פופולארית של חברת Mocana.
באמצעות בסיס הידע של ארמיס – דאטה בייס שכולל מעל 2 מיליארד מכשירים ויותר מ-6 מיליון פרופילים של מכשירים – החוקרים הצליחו לזהות עשרות מכשירים המשתמשים בספריית Mocana NanoSSL. הממצאים כוללים לא רק את מכשירי ה-APC Smart-UPS אלא גם שני ספקים פופולאריים של מתגי רשתות אשר הושפעו מחולשות דומות. בעוד שמכשירי UPS ומתגי רשת נבדלים בתפקודם וברמות האמון מתוך הרשת, אותן בעיות בהטמעת ה- TLSעלולות לגרום לתוצאות הרסניות.
המחקר TLStorm 2.0, חושף חולשות שעלולות לאפשר לתוקף להשתלט לחלוטין על מתגים המצויים בשימוש בשדות תעופה, בתי חולים, מלונות וארגונים נוספים ברחבי העולם. הספקים אשר מושפעים הם ארובה Aruba (שנרכשה ע"י HPE) ו-אוואיה נטוורקינג Avaya Networking (שנרכשה ע"י ExtremeNetworks). נמצא כי לשני הספקים יש מתגים החשופים להרצת קוד מרחוק (RCE), חולשות שניתן לנצל דרך הרשת ומובילות לשבירת הסגמנטציה של רשת, ובכך תוקף יכול לנוע למכשירים נוספים או רשתות קריטיות על ידי שינוי הקונפיגורציה במתג, לדליפת דאטה מתוך טראפיק ברשת הארגונית או מידע רגיש מרשת פנימית אל האינטרנט, וכן לבריחה מפורטל שבוי.
הממצאים של המחקר משמעותיים מאחר שהם מאותתים שתשתית הרשת עצמה נמצאת בסיכון וניתנת לניצול על ידי תוקפים, והמשמעות היא שהסגמנטציה ברשת לא יכולה לתפקד יותר כאמצעי אבטחה מספק.
"המחקר בארמיס מונע על ידי מטרה אחת פשוטה: לזהות ניצנים של איומי אבטחה כדי לספק ללקוחותינו הגנה בזמן אמת ובאופן מתמשך", אומר ברק חדד, מנהל המחקר בארמיס. "סט החולשות TLStorm הוא דוגמא מצוינת לאיומים לנכסים שבעבר היו בלתי נראים בקרב רוב פתרונות האבטחה. זו הוכחה לכך שסגמנטציית רשת כבר איננה מספקת להפחתת איומים, ושניטור פרואקטיבי של הרשת הוא חיוני. חוקרי ארמיס ימשיכו לחקור מכשירים מסוגים שונים, כדי להבטיח שבסיס המידע שלנו המכיל יותר מ-2 מיליארד מכשירים ואותו אנו משתפים עם לקוחותינו ושותפינו, יכיל את האיומים החדשים ביותר ופתרונותיהם".
