Исследователи безопасности Armis недавно объявили, что обнаружили три уязвимости в управляемых источниках бесперебойного питания БТР которые позволяют удаленно управлять устройством и манипулировать им, например отключать определенные порты или использовать его для проведения атак на другие системы.
Уязвимости они имеют кодовое название TLStorm и влияют на APC Smart-UPS (серии SCL, SMX, SRT) и SmartConnect (серии SMT, SMTL, SCL и SMX).
Источники бесперебойного питания (ИБП) обеспечивают аварийное резервное питание для критически важных активов и могут быть найдены в центрах обработки данных, промышленных объектах, больницах и т. д.
APC является дочерней компанией Schneider Electric и является одним из ведущих поставщиков ИБП с более чем 20 миллионами проданных устройств по всему миру. В случае эксплуатации эти уязвимости, получившие название TLStorm, позволяют осуществлять полный удаленный захват устройств Smart-UPS и проводить экстремальные киберфизические атаки. По данным Armis, почти 8 из 10 компаний подвержены уязвимостям TLStorm. В этом сообщении в блоге представлен общий обзор этого исследования и его последствий.
В сообщении блога упоминается, что две уязвимости вызваны ошибками в реализации протокола TLS. на устройствах, управляемых через централизованную облачную службу Schneider Electric.
Устройства серии SmartConnect автоматически подключаются к облачному сервису централизованно при запуске или потере соединения и злоумышленник, не прошедший проверку подлинности, может использовать уязвимости и получить контроль всего на устройстве, отправив специально разработанные посылки в UPS.
- CVE-2022-22805: использование переполнения буфера в коде повторной сборки пакетов при обработке входящих подключений. Проблема вызвана буферизацией данных во время обработки фрагментированных записей TLS. Эксплуатации уязвимости способствует некорректная обработка ошибок при использовании библиотеки Mocana nanoSSL: после возврата ошибки соединение не закрывалось.
- CVE-2022-22806: Обход аутентификации при установлении сеанса TLS, вызванный ошибкой состояния во время согласования подключения. Кэширование неинициализированного нулевого ключа TLS и игнорирование кода ошибки, возвращаемого библиотекой Mocana nanoSSL при получении пакета с пустым ключом, позволило имитировать себя сервером Schneider Electric без прохождения этапа проверки и обмена ключами.
Третья уязвимость (CVE-2022-0715) связано с некорректной реализацией проверки прошивки загружается для обновления и позволяет злоумышленнику установить модифицированную прошивку без проверки ЭЦП (выяснилось, что ЭЦП у прошивки вообще не проверяется, а используется только симметричное шифрование с предопределенным в прошивке ключом).
В сочетании с уязвимостью CVE-2022-22805 злоумышленник может заменить прошивку удаленно, представившись облачной службой Schneider Electric, или инициировав обновление из локальной сети.
Злоупотребление уязвимостями в механизмах обновления встроенного ПО становится стандартной практикой для APT, как недавно было подробно описано в анализе вредоносного ПО Cyclops Blink, а ошибочная прошивка встроенного устройства является повторяющимся недостатком в нескольких интегрированных системах. Предыдущая уязвимость, обнаруженная Armis в системах Swisslog PTS (PwnedPiper, CVE-2021-37160), была результатом уязвимости аналогичного типа.
Получив доступ к ИБП, злоумышленник может внедрить на устройство бэкдор или вредоносный код, а также совершить саботаж и отключить питание важных потребителей, например, отключив питание систем видеонаблюдения в банках или жизнеобеспечения .
Schneider Electric подготовила патчи для решения проблем а также готовит обновление прошивки. Для снижения риска компрометации также рекомендуется изменить пароль по умолчанию («apc») на устройствах с платой сетевого управления (NMC) и установить SSL-сертификат с цифровой подписью, а также ограничить доступ к ИБП только в брандмауэре. на адреса в облаке Schneider Electric.
В конце концов Если вам интересно узнать об этом больше, вы можете проверить детали в по следующей ссылке.