Pesquisadores de segurança Armis anunciaram recentemente que descobriram três vulnerabilidades em fontes de alimentação ininterruptas gerenciadas APC que permitem o controle remoto e manipulação do dispositivo, como desligar determinadas portas ou usá-lo para realizar ataques em outros sistemas.
Vulnerabilidades eles são codinome TLStorm e afetam o APC Smart-UPS (séries SCL, SMX, SRT) e SmartConnect (séries SMT, SMTL, SCL e SMX).
Os dispositivos de fonte de alimentação ininterrupta (UPS) fornecem energia de backup de emergência para ativos de missão crítica e podem ser encontrados em data centers, instalações industriais, hospitais e muito mais.
A APC é uma subsidiária da Schneider Electric e é um dos principais fornecedores de dispositivos UPS com mais de 20 milhões de dispositivos vendidos em todo o mundo. Se exploradas, essas vulnerabilidades, apelidadas de TLStorm, permitem o controle remoto completo de dispositivos Smart-UPS e a capacidade de realizar ataques cibernéticos extremos. De acordo com dados da Armis, quase 8 em cada 10 empresas estão expostas a vulnerabilidades do TLStorm. Esta postagem no blog fornece uma visão geral de alto nível dessa pesquisa e suas implicações.
Na postagem do blog é mencionado que duas das vulnerabilidades são causadas por bugs na implementação do protocolo TLS em dispositivos gerenciados por meio de um serviço de nuvem centralizado da Schneider Electric.
Os Os dispositivos da série SmartConnect se conectam automaticamente a um serviço de nuvem centralizado ao iniciar ou perder a conexão e um invasor não autenticado pode explorar vulnerabilidades e obter controle total no dispositivo enviando pacotes especialmente projetados para a UPS.
- CVE-2022-22805: Estouro de buffer no código de reagrupamento de pacotes explorado ao processar conexões de entrada. O problema é causado pelo armazenamento em buffer de dados durante o processamento de registros TLS fragmentados. A exploração da vulnerabilidade é facilitada pelo tratamento incorreto de erros ao usar a biblioteca Mocana nanoSSL: após retornar um erro, a conexão não foi fechada.
- CVE-2022-22806: Bypass de autenticação ao estabelecer uma sessão TLS causada por um erro de estado durante a negociação de conexão. O armazenamento em cache de uma chave TLS nula não inicializada e a desconsideração do código de erro retornado pela biblioteca Mocana nanoSSL quando um pacote com uma chave vazia foi recebido permitiu simular ser um servidor Schneider Electric sem passar pela etapa de verificação e troca de chaves.
A terceira vulnerabilidade (CVE-2022-0715) está associado a uma implementação incorreta da verificação de firmware baixado para a atualização e permite que um invasor instale o firmware modificado sem verificar a assinatura digital (aconteceu que a assinatura digital não é verificada para o firmware, mas apenas a criptografia simétrica com uma chave predefinida no firmware é usada).
Combinado com a vulnerabilidade CVE-2022-22805, um invasor pode substituir o firmware remotamente posando como um serviço de nuvem da Schneider Electric ou iniciando uma atualização de uma rede local.
Abusar de falhas nos mecanismos de atualização de firmware está se tornando uma prática padrão para APTs, conforme detalhado recentemente na análise do malware Cyclops Blink, e a falta de assinatura do firmware do dispositivo embarcado é uma falha recorrente em vários sistemas. Uma vulnerabilidade anterior descoberta pela Armis nos sistemas Swisslog PTS ( PwnedPiper , CVE-2021-37160) foi o resultado de um tipo semelhante de falha.
Tendo obtido acesso ao UPS, um invasor pode plantar um backdoor ou código malicioso no dispositivo, além de realizar sabotagem e desligar a energia de consumidores importantes, por exemplo, desligando a energia de sistemas de vigilância por vídeo em bancos ou suporte de vida .
Schneider Electric preparou patches para resolver problemas e também está preparando uma atualização de firmware. Para reduzir o risco de comprometimento, também é recomendável alterar a senha padrão (“apc”) em dispositivos com NMC (Network Management Card) e instalar um certificado SSL assinado digitalmente, além de restringir o acesso ao UPS apenas no firewall para endereços na nuvem da Schneider Electric.
Finalmente Se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes no link a seguir