TLStorm : trois vulnérabilités critiques affectant les appareils APC Smart-UPS

Chercheurs en sécurité de l'Armis ont récemment annoncé avoir découvert trois vulnérabilités dans les alimentations sans coupure gérées APC qui permettent le contrôle à distance et la manipulation de l'appareil, comme la désactivation de certains ports ou son utilisation pour effectuer des attaques sur d'autres systèmes.

Vulnérabilités ils portent le nom de code TLStorm et affecter APC Smart-UPS (séries SCL, SMX, SRT) et SmartConnect (séries SMT, SMTL, SCL et SMX).

Les dispositifs d'alimentation sans coupure (UPS) fournissent une alimentation de secours d'urgence pour les actifs critiques et peuvent être trouvés dans les centres de données, les installations industrielles, les hôpitaux, etc.

APC est une filiale de Schneider Electric et est l'un des principaux fournisseurs d'onduleurs avec plus de 20 millions d'appareils vendus dans le monde. Si elles sont exploitées, ces vulnérabilités, baptisées TLStorm, permettent une prise de contrôle à distance complète des appareils Smart-UPS et la possibilité de mener des attaques cyber-physiques extrêmes. Selon les données d'Armis, près de 8 entreprises sur 10 sont exposées aux vulnérabilités TLStorm. Ce billet de blog fournit un aperçu de haut niveau de cette recherche et de ses implications.

Dans le billet de blog, il est mentionné que deux des vulnérabilités sont causées par des bogues dans l'implémentation du protocole TLS sur des appareils gérés via un service cloud Schneider Electric centralisé.

Les Les appareils de la série SmartConnect se connectent automatiquement à un service cloud centralisé lors du démarrage ou de la perte de la connexion et un attaquant non authentifié peut exploiter les vulnérabilités et prendre le contrôle total sur l'appareil en envoyant des colis spécialement conçus à UPS.

  • CVE-2022-22805 : débordement de tampon dans le code de réassemblage de paquets exploité lors du traitement des connexions entrantes. Le problème est causé par la mise en mémoire tampon des données lors du traitement des enregistrements TLS fragmentés. L'exploitation de la vulnérabilité est facilitée par une gestion incorrecte des erreurs lors de l'utilisation de la bibliothèque Mocana nanoSSL : après retour d'une erreur, la connexion n'était pas fermée.
  • CVE-2022-22806 : Contournement de l'authentification lors de l'établissement d'une session TLS en raison d'une erreur d'état lors de la négociation de la connexion. La mise en cache d'une clé TLS nulle non initialisée et l'ignorance du code d'erreur renvoyé par la bibliothèque Mocana nanoSSL lors de la réception d'un paquet avec une clé vide ont permis de simuler le fait d'être un serveur Schneider Electric sans passer par l'étape de vérification et d'échange de clé.

La troisième vulnérabilité (CVE-2022-0715) est associé à une implémentation incorrecte de la vérification du firmware téléchargé pour la mise à jour et permet à un attaquant d'installer le firmware modifié sans vérifier la signature numérique (il s'est avéré que la signature numérique n'est pas du tout vérifiée pour le firmware, mais seul le chiffrement symétrique avec une clé prédéfinie dans le firmware est utilisé).

Combiné à la vulnérabilité CVE-2022-22805, un attaquant pourrait remplacer le firmware à distance en se faisant passer pour un service cloud de Schneider Electric ou en lançant une mise à jour à partir d'un réseau local.

Abuser des failles dans les mécanismes de mise à jour du firmware devient une pratique courante pour les APT, comme l'a récemment détaillé l'analyse du malware Cyclops Blink, et la mauvaise signature du firmware des appareils embarqués est une faille récurrente dans plusieurs systèmes intégrés. Une vulnérabilité précédente découverte par Armis dans les systèmes Swisslog PTS ( PwnedPiper , CVE-2021-37160) était le résultat d'un type de faille similaire.

Après avoir accédé à l'onduleur, un attaquant peut planter une porte dérobée ou un code malveillant sur l'appareil, ainsi qu'effectuer un sabotage et couper l'alimentation d'importants consommateurs, par exemple en coupant l'alimentation des systèmes de vidéosurveillance dans les banques ou le système de survie. .

Schneider Electric a préparé des correctifs pour résoudre les problèmes et prépare également une mise à jour du firmware. Pour réduire le risque de compromission, il est également recommandé de modifier le mot de passe par défaut ("apc") sur les appareils dotés d'une NMC (carte de gestion réseau) et d'installer un certificat SSL signé numériquement, ainsi que de restreindre l'accès à l'onduleur uniquement dans le pare-feu aux adresses dans le cloud de Schneider Electric.

Enfin Si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.