Badacze bezpieczeństwa Armis niedawno ogłosili, że odkryli trzy luki w zabezpieczeniach w zarządzanych zasilaczach bezprzerwowych APC które umożliwiają zdalną kontrolę i manipulację urządzeniem, np. wyłączanie niektórych portów lub wykorzystywanie go do przeprowadzania ataków na inne systemy.
Luki w zabezpieczeniach mają kryptonim TLStorm i mają wpływ na APC Smart-UPS (serie SCL, SMX, SRT) i SmartConnect (serie SMT, SMTL, SCL i SMX).
Zasilacze bezprzerwowe (UPS) zapewniają awaryjne zasilanie awaryjne dla zasobów o znaczeniu krytycznym i można je znaleźć w centrach danych, obiektach przemysłowych, szpitalach i nie tylko.
APC jest spółką zależną Schneider Electric i jednym z wiodących dostawców urządzeń UPS z ponad 20 milionami sprzedanych urządzeń na całym świecie. W przypadku wykorzystania luki te, nazwane TLStorm, umożliwiają pełne zdalne przejęcie urządzeń Smart-UPS i przeprowadzanie ekstremalnych ataków cyber-fizycznych. Według danych Armis prawie 8 na 10 firm jest narażonych na podatność TLStorm. Ten wpis na blogu zawiera ogólny przegląd tych badań i ich implikacji.
W poście na blogu wspomniano, że dwie luki są spowodowane błędami w implementacji protokołu TLS na urządzeniach zarządzanych przez scentralizowaną usługę chmury Schneider Electric.
L Urządzenia z serii SmartConnect automatycznie łączą się z usługą w chmurze scentralizowany podczas uruchamiania lub utraty połączenia i nieuwierzytelniony napastnik może wykorzystać luki w zabezpieczeniach i przejąć kontrolę łącznie na urządzeniu, wysyłając specjalnie zaprojektowane paczki do UPS.
- CVE-2022-22805: Przepełnienie bufora w kodzie ponownego składania pakietów wykorzystywane podczas przetwarzania połączeń przychodzących. Problem jest spowodowany buforowaniem danych podczas przetwarzania pofragmentowanych rekordów TLS. Wykorzystywanie podatności ułatwia niepoprawna obsługa błędów podczas korzystania z biblioteki Mocana nanoSSL: po zwróceniu błędu połączenie nie zostało zamknięte.
- CVE-2022-22806: Pominięcie uwierzytelniania podczas nawiązywania sesji TLS spowodowane błędem stanu podczas negocjacji połączenia. Buforowanie niezainicjowanego null klucza TLS i ignorowanie kodu błędu zwracanego przez bibliotekę Mocana nanoSSL w przypadku odebrania pakietu z pustym kluczem umożliwiło symulację bycia serwerem Schneider Electric bez przechodzenia przez etap weryfikacji i wymiany kluczy.
Trzecia luka (CVE-2022-0715) wiąże się z nieprawidłową implementacją weryfikacji firmware pobrane do aktualizacji i umożliwia atakującemu zainstalowanie zmodyfikowanego oprogramowania bez weryfikacji podpisu cyfrowego (okazało się, że podpis cyfrowy nie jest w ogóle weryfikowany dla oprogramowania, a jedynie stosowane jest szyfrowanie symetryczne z kluczem predefiniowanym w oprogramowaniu).
W połączeniu z luką CVE-2022-22805 osoba atakująca może wymienić oprogramowanie zdalnie, podszywając się pod usługę chmury Schneider Electric lub inicjując aktualizację z sieci lokalnej.
Nadużywanie luk w mechanizmach aktualizacji oprogramowania układowego staje się standardową praktyką w przypadku APT, co zostało ostatnio szczegółowo omówione w analizie złośliwego oprogramowania Cyclops Blink, a błędne podpisywanie oprogramowania wbudowanego urządzenia jest powtarzającą się usterką w kilku systemach. Poprzednia luka wykryta przez Armis w systemach Swisslog PTS (PwnedPiper, CVE-2021-37160) była wynikiem podobnego typu luki.
Po uzyskaniu dostępu do UPS atakujący może podłożyć na urządzenie backdoora lub złośliwy kod, a także dokonać sabotażu i wyłączyć zasilanie ważnych odbiorców, np. wyłączyć zasilanie systemów monitoringu wizyjnego w bankach lub podtrzymywania życia .
Schneider Electric przygotował poprawki do rozwiązywania problemów i przygotowuje również aktualizację oprogramowania. Aby zmniejszyć ryzyko włamania, zaleca się również zmianę domyślnego hasła („apc”) na urządzeniach z kartą NMC (Network Management Card) i zainstalowanie podpisanego cyfrowo certyfikatu SSL, a także ograniczenie dostępu do UPS tylko w zaporze ogniowej na adresy w chmurze Schneider Electric.
W końcu Jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły w następujący link.