Изследователи по сигурността на Armis наскоро обявиха, че са открили три уязвимости в управлявани непрекъсваеми захранвания APC които позволяват дистанционно управление и манипулиране на устройството, като изключване на определени портове или използване за извършване на атаки върху други системи.
Уязвимости те са с кодово име TLStorm и засягат APC Smart-UPS (серии SCL, SMX, SRT) и SmartConnect (серии SMT, SMTL, SCL и SMX).
Устройствата за непрекъсваемо захранване (UPS) осигуряват резервно захранване при спешни случаи за критични активи и могат да бъдат намерени в центрове за данни, промишлени съоръжения, болници и др.
APC е дъщерно дружество на Schneider Electric и е един от водещите доставчици на UPS устройства с повече от 20 милиона продадени устройства по целия свят. Ако бъдат експлоатирани, тези уязвимости, наречени TLStorm, позволяват пълно отдалечено поемане на Smart-UPS устройства и възможността за извършване на екстремни кибер-физически атаки. Според данните на Armis, почти 8 от 10 компании са изложени на уязвимости в TLStorm. Тази публикация в блога предоставя преглед на високо ниво на това изследване и неговите последици.
В публикацията в блога се споменава, че две от уязвимостите са причинени от грешки в изпълнението на TLS протокола на устройства, управлявани чрез централизирана облачна услуга на Schneider Electric.
Лос Устройствата от серията SmartConnect се свързват автоматично с облачна услуга централизирано при стартиране или загуба на връзката и неудостоверен нападател може да използва уязвимостите и да получи контрол общо на устройството чрез изпращане на специално проектирани пакети до UPS.
- CVE-2022-22805: Препълване на буфер в кода за повторно сглобяване на пакети, използван при обработка на входящи връзки. Проблемът е причинен от буфериране на данни по време на обработката на фрагментирани TLS записи. Експлоатацията на уязвимостта се улеснява от неправилна обработка на грешки при използване на библиотеката Mocana nanoSSL: след връщане на грешка, връзката не е била затворена.
- CVE-2022-22806: Заобикаляне на удостоверяване при установяване на TLS сесия, причинена от грешка в състоянието по време на договаряне на връзката. Кеширането на неинициализиран нулев TLS ключ и игнорирането на кода за грешка, върнат от библиотеката Mocana nanoSSL, когато е получен пакет с празен ключ, направи възможно да се симулира сървър на Schneider Electric, без да се преминава през етапа на проверка и обмен на ключове.
Третата уязвимост (CVE-2022-0715) е свързано с неправилно изпълнение на проверка на фърмуера изтеглен за актуализацията и позволява на атакуващия да инсталира модифицирания фърмуер без проверка на цифровия подпис (оказа се, че цифровият подпис изобщо не е проверен за фърмуера, а се използва само симетрично криптиране с ключ, предварително дефиниран във фърмуера).
В комбинация с уязвимостта CVE-2022-22805, нападателят може да замени фърмуера дистанционно, като се представяте за облачна услуга на Schneider Electric или като инициирате актуализация от локална мрежа.
Злоупотребата с недостатъци в механизмите за актуализиране на фърмуера се превръща в стандартна практика за APT, както наскоро беше описано в анализа на злонамерения софтуер Cyclops Blink, а неправилното подреждане на вградения фърмуер на устройство е повтарящ се недостатък в няколко интегрирани системи. Предишна уязвимост, открита от Armis в Swisslog PTS системи (PwnedPiper, CVE-2021-37160), беше резултат от подобен тип дефект.
След като получи достъп до UPS, нападателят може да постави бекдор или злонамерен код на устройството, както и да извърши саботаж и да изключи захранването на важни потребители, например, изключване на захранването на системите за видеонаблюдение в банки или поддържане на живота .
Schneider Electric е подготвил кръпки за решаване на проблеми и също така подготвя актуализация на фърмуера. За да намалите риска от компрометиране, се препоръчва също така да промените паролата по подразбиране („apc“) на устройства с NMC (Карта за управление на мрежата) и да инсталирате цифрово подписан SSL сертификат, както и да ограничите достъпа до UPS само в защитната стена до адреси в облака на Schneider Electric.
Накрая Ако се интересувате да научите повече за това, можете да проверите подробностите в следваща връзка.