Дослідники безпеки Armis нещодавно оголосили, що виявили три уразливості в керованих джерелах безперебійного живлення APC які дозволяють дистанційно керувати пристроєм і маніпулювати ним, наприклад, вимкнути певні порти або використовувати його для здійснення атак на інші системи.
Вразливості вони мають кодову назву TLStorm і впливають на APC Smart-UPS (серії SCL, SMX, SRT) і SmartConnect (серії SMT, SMTL, SCL і SMX).
Пристрої джерела безперебійного живлення (UPS) забезпечують аварійне резервне живлення для критично важливих ресурсів і можна знайти в центрах обробки даних, промислових об’єктах, лікарнях тощо.
APC є дочірньою компанією Schneider Electric і є одним із провідних постачальників пристроїв безперебійного живлення, проданих понад 20 мільйонів пристроїв по всьому світу. У разі використання ці вразливості, названі TLStorm, дають змогу повністю віддалено захопити пристрої Smart-UPS та можливість здійснювати екстремальні кіберфізичні атаки. За даними Armis, майже 8 з 10 компаній піддаються вразливості TLStorm. У цьому блозі представлений огляд високого рівня цього дослідження та його наслідків.
У дописі блогу про це йдеться дві вразливості викликані помилками в реалізації протоколу TLS на пристроях, керованих через централізовану хмарну службу Schneider Electric.
L Пристрої серії SmartConnect автоматично підключаються до хмарної служби централізовано при запуску або втраті з'єднання і неавтентифікований зловмисник може скористатися вразливими місцями та отримати контроль сумарно на пристрої, відправивши спеціально розроблені пакети в UPS.
- CVE-2022-22805: переповнення буфера в коді повторної збірки пакетів, яке використовується під час обробки вхідних з’єднань. Проблема спричинена буферизацією даних під час обробки фрагментованих записів TLS. Експлуатації уразливості сприяє некоректна обробка помилок при використанні бібліотеки Mocana nanoSSL: після повернення помилки з'єднання не було закрито.
- CVE-2022-22806: обхід автентифікації під час встановлення сеансу TLS через помилку стану під час узгодження з’єднання. Кешування неініціалізованого нульового ключа TLS та ігнорування коду помилки, який повертає бібліотека Mocana nanoSSL під час отримання пакета з порожнім ключем, дозволило імітувати сервер Schneider Electric без проходження етапу перевірки та обміну ключами.
Третя вразливість (CVE-2022-0715) пов'язано з неправильним виконанням перевірки мікропрограми завантажений для оновлення і дозволяє зловмиснику встановити модифіковану прошивку без перевірки цифрового підпису (виявилося, що цифровий підпис для прошивки взагалі не перевіряється, а використовується лише симетричне шифрування з ключем, попередньо визначеним у прошивці).
У поєднанні з уразливістю CVE-2022-22805 зловмисник може замінити мікропрограму віддалено, видаючи себе за хмарний сервіс Schneider Electric або ініціюючи оновлення з локальної мережі.
Зловживання недоліками в механізмах оновлення мікропрограми стає стандартною практикою для APT, як нещодавно було детально описано в аналізі зловмисного програмного забезпечення Cyclops Blink, а неправильне підписання мікропрограми вбудованого пристрою є повторюваною помилкою в кількох інтегрованих системах. Попередня вразливість, виявлена Armis в системах Swisslog PTS (PwnedPiper, CVE-2021-37160), була результатом подібного типу дефекту.
Отримавши доступ до ДБЖ, зловмисник може встановити на пристрій бекдор або шкідливий код, а також здійснити саботаж і відключити живлення важливих споживачів, наприклад, відключивши живлення систем відеоспостереження в банках або життєзабезпечення. .
Schneider Electric підготувала патчі для вирішення проблем а також готується оновлення мікропрограми. Щоб знизити ризик компромісу, також рекомендується змінити пароль за замовчуванням («apc») на пристроях з NMC (картою керування мережею) і встановити сертифікат SSL з цифровим підписом, а також обмежити доступ до UPS лише в брандмауері. на адреси в хмарі Schneider Electric.
В кінці кінців Якщо вам цікаво дізнатись більше про це, Ви можете перевірити деталі в наступне посилання.