Se han identificado varias vulnerabilidades de seguridad en la aplicación de gestión de redes de área de almacenamiento (SAN) SANnav de Brocade, las cuales podrían ser explotadas para comprometer dispositivos susceptibles.

Estos 18 fallos afectan a todas las versiones hasta la 2.3.0 y fueron descubiertos y reportados por el investigador de seguridad independiente Pierre Barre.

Las vulnerabilidades abarcan desde reglas incorrectas de firewall, acceso root inseguro y configuraciones erróneas de Docker hasta la falta de autenticación y cifrado, lo que permite a los atacantes interceptar credenciales, sobrescribir archivos arbitrarios y tomar control total del dispositivo. Entre las vulnerabilidades más significativas se incluyen:

  • Una vulnerabilidad (CVE-2024-2859) que permite a un atacante no autenticado iniciar sesión en un dispositivo afectado como root y ejecutar comandos arbitrarios.
  • El uso de claves SSH codificadas en la imagen OVA (CVE-2024-29960), que podría ser aprovechado por un atacante para descifrar el tráfico SSH y comprometer el dispositivo.
  • Una vulnerabilidad (CVE-2024-29961) que permite a un atacante remoto no autenticado realizar un ataque de cadena de suministro aprovechando los comandos de ping del servicio SANnav.
  • El uso de claves Docker codificadas en SANnav OVA para acceder a registros remotos sobre TLS (CVE-2024-29963), lo que permite a un atacante llevar a cabo ataques de intermediario en el tráfico.
  • La presencia de credenciales codificadas para usuarios root en la documentación pública (CVE-2024-29966), lo que permite a un atacante no autenticado obtener acceso completo al dispositivo Brocade SANnav.

Estas vulnerabilidades fueron abordadas en la versión 2.3.1 de SANnav lanzada en diciembre de 2023, tras una divulgación responsable en agosto de 2022 y mayo de 2023. Broadcom, la empresa matriz de Brocade, junto con Hewlett Packard Enterprise, ha proporcionado parches para corregir estas vulnerabilidades en sus respectivas soluciones.

Fuente:https://thehackernews.com/2024/04/severe-flaws-disclosed-in-brocade.html