TLStorm: Tre kritiske sårbarheder, der påvirker APC Smart-UPS-enheder

Armis sikkerhedsforskere for nylig annonceret, at de har opdaget tre sårbarheder i administrerede uafbrydelige strømforsyninger APC der tillader fjernstyring og manipulation af enheden, såsom at slukke for visse porte eller bruge den til at udføre angreb på andre systemer.

Sårbarheder de er kodenavnet TLStorm og påvirker APC Smart-UPS (SCL-, SMX-, SRT-serien) og SmartConnect (SMT-, SMTL-, SCL- og SMX-serien).

UPS-enheder (Uninterruptible Power Supply) leverer nødstrøm til missionskritiske aktiver og kan findes i datacentre, industrifaciliteter, hospitaler og meget mere.

APC er et datterselskab af Schneider Electric og er en af ​​de førende udbydere af UPS-enheder med mere end 20 millioner solgte enheder på verdensplan. Hvis de udnyttes, tillader disse sårbarheder, kaldet TLStorm, fuld fjernovertagelse af Smart-UPS-enheder og muligheden for at udføre ekstreme cyberfysiske angreb. Ifølge Armis-data er næsten 8 ud af 10 virksomheder udsat for TLStorm-sårbarheder. Dette blogindlæg giver et overblik på højt niveau over denne forskning og dens implikationer.

I blogindlægget nævnes det to af sårbarhederne er forårsaget af fejl i implementeringen af ​​TLS-protokollen på enheder, der administreres gennem en centraliseret Schneider Electric-skytjeneste.

masse Enheder i SmartConnect-serien opretter automatisk forbindelse til en skytjeneste centraliseret ved start eller afbrydelse af forbindelsen og en uautoriseret angriber kan udnytte sårbarheder og få kontrol samlet på enheden ved at sende specialdesignede pakker til UPS.

  • CVE-2022-22805: Bufferoverløb i pakkegensamlingskode, der udnyttes ved behandling af indgående forbindelser. Problemet er forårsaget af buffering af data under behandlingen af ​​fragmenterede TLS-poster. Udnyttelse af sårbarheden lettes af forkert fejlhåndtering ved brug af Mocana nanoSSL-biblioteket: efter returnering af en fejl blev forbindelsen ikke lukket.
  • CVE-2022-22806: Omgå godkendelse ved etablering af en TLS-session forårsaget af en tilstandsfejl under forbindelsesforhandling. Caching af en ikke-initialiseret null TLS-nøgle og ignorering af fejlkoden, der blev returneret af Mocana nanoSSL-biblioteket, da en pakke med en tom nøgle blev modtaget, gjorde det muligt at simulere at være en Schneider Electric-server uden at gå gennem verifikations- og nøgleudvekslingsstadiet.

Den tredje sårbarhed (CVE-2022-0715) er forbundet med en forkert implementering af firmwarebekræftelse downloadet til opdateringen og tillader en angriber at installere den modificerede firmware uden at verificere den digitale signatur (det viste sig, at den digitale signatur slet ikke er verificeret for firmwaren, men kun symmetrisk kryptering med en nøgle foruddefineret i firmwaren).

Kombineret med CVE-2022-22805 sårbarheden kan en angriber erstatte firmwaren eksternt ved at udgive sig som en Schneider Electric-skytjeneste eller ved at starte en opdatering fra et lokalt netværk.

Misbrug af fejl i firmwareopdateringsmekanismer er ved at blive standardpraksis for APT'er, som det for nylig blev beskrevet i analysen af ​​Cyclops Blink malware, og at miste indlejret enhedsfirmware er en tilbagevendende fejl i flere integrerede systemer. En tidligere sårbarhed opdaget af Armis i Swisslog PTS-systemer (PwnedPiper, CVE-2021-37160) var resultatet af en lignende type fejl.

Efter at have fået adgang til UPS'en kan en angriber plante en bagdør eller ondsindet kode på enheden, samt udføre sabotage og slukke for strømmen til vigtige forbrugere, for eksempel at slukke for strømmen til videoovervågningssystemer i banker eller livsstøtte .

Schneider Electric har forberedt patches til at løse problemer og er også ved at forberede en firmwareopdatering. For at reducere risikoen for kompromittering anbefales det også at ændre standardadgangskoden ("apc") på enheder med et NMC (Network Management Card) og installere et digitalt signeret SSL-certifikat samt begrænse adgangen til UPS kun i firewallen til adresser i Schneider Electric-skyen.

Endelig Hvis du er interesseret i at vide mere om det, du kan kontrollere detaljerne i følgende link.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort.

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.