Các nhà nghiên cứu bảo mật của Armis gần đây đã thông báo rằng họ đã phát hiện ra ba lỗ hổng trong các nguồn cung cấp điện liên tục được quản lý APC cho phép điều khiển và thao tác từ xa thiết bị, chẳng hạn như tắt một số cổng nhất định hoặc sử dụng nó để thực hiện các cuộc tấn công vào các hệ thống khác.
Các lỗ hổng chúng có tên mã là TLStorm và ảnh hưởng đến APC Smart-UPS (dòng SCL, SMX, SRT) và SmartConnect (dòng SMT, SMTL, SCL và SMX).
Các thiết bị Nguồn điện liên tục (UPS) cung cấp nguồn điện dự phòng khẩn cấp cho các tài sản quan trọng và có thể được tìm thấy trong các trung tâm dữ liệu, cơ sở công nghiệp, bệnh viện, v.v.
APC là công ty con của Schneider Electric và là một trong những nhà cung cấp thiết bị UPS hàng đầu với hơn 20 triệu thiết bị được bán ra trên toàn thế giới. Nếu bị khai thác, các lỗ hổng này, được gọi là TLStorm, cho phép tiếp quản hoàn toàn từ xa các thiết bị Smart-UPS và khả năng thực hiện các cuộc tấn công mạng cực đoan. Theo dữ liệu của Armis, gần 8 trong số 10 công ty đang tiếp xúc với lỗ hổng TLStorm. Bài đăng trên blog này cung cấp một cái nhìn tổng quan cấp cao về nghiên cứu này và ý nghĩa của nó.
Trong bài đăng trên blog có đề cập rằng hai trong số các lỗ hổng là do lỗi trong quá trình triển khai giao thức TLS trên các thiết bị được quản lý thông qua dịch vụ đám mây Schneider Electric tập trung.
Các Các thiết bị dòng SmartConnect tự động kết nối với dịch vụ đám mây tập trung khi khởi động hoặc mất kết nối và kẻ tấn công chưa được xác thực có thể khai thác các lỗ hổng và giành quyền kiểm soát tổng trên thiết bị bằng cách gửi các gói hàng được thiết kế đặc biệt tới UPS.
- CVE-2022-22805: Tràn bộ đệm trong mã lắp ráp lại gói được khai thác khi xử lý các kết nối đến. Sự cố là do bộ đệm dữ liệu trong quá trình xử lý các bản ghi TLS bị phân mảnh. Việc khai thác lỗ hổng được tạo điều kiện thuận lợi bằng cách xử lý lỗi không chính xác khi sử dụng thư viện Mocana nanoSSL: sau khi trả về lỗi, kết nối đã không được đóng.
- CVE-2022-22806: Bỏ qua xác thực khi thiết lập phiên TLS do lỗi trạng thái trong quá trình thương lượng kết nối. Lưu vào bộ đệm một khóa TLS rỗng chưa được khởi tạo và bỏ qua mã lỗi do thư viện Mocana nanoSSL trả về khi nhận được gói dữ liệu có khóa trống, có thể mô phỏng là máy chủ Schneider Electric mà không cần trải qua giai đoạn xác minh và trao đổi khóa.
Lỗ hổng thứ ba (CVE-2022-0715) có liên quan đến việc triển khai không chính xác xác minh chương trình cơ sở được tải xuống để cập nhật và cho phép kẻ tấn công cài đặt phần sụn đã sửa đổi mà không cần xác minh chữ ký số (hóa ra là chữ ký số không được xác minh cho phần sụn mà chỉ sử dụng mã hóa đối xứng với một khóa được xác định trước trong phần sụn).
Kết hợp với lỗ hổng CVE-2022-22805, kẻ tấn công có thể thay thế phần sụn từ xa bằng cách đóng giả là một dịch vụ đám mây của Schneider Electric hoặc bằng cách bắt đầu cập nhật từ mạng cục bộ.
Lạm dụng lỗi trong cơ chế cập nhật phần mềm đang trở thành thông lệ tiêu chuẩn đối với APT, như gần đây đã được trình bày chi tiết trong phân tích phần mềm độc hại Cyclops Blink và việc căn chỉnh phần sụn thiết bị nhúng là một lỗ hổng lặp lại trong một số hệ thống tích hợp. Một lỗ hổng trước đây được Armis phát hiện trong hệ thống Swisslog PTS (PwnedPiper, CVE-2021-37160) là kết quả của một loại lỗ hổng tương tự.
Sau khi có quyền truy cập vào UPS, kẻ tấn công có thể cài đặt một cửa sau hoặc mã độc hại trên thiết bị, cũng như thực hiện phá hoại và tắt nguồn của những người tiêu dùng quan trọng, chẳng hạn như tắt nguồn của hệ thống giám sát video trong ngân hàng hoặc thiết bị hỗ trợ cuộc sống. .
Schneider Electric đã chuẩn bị các bản vá để giải quyết vấn đề và cũng đang chuẩn bị cập nhật chương trình cơ sở. Để giảm nguy cơ bị xâm nhập, bạn cũng nên thay đổi mật khẩu mặc định (“apc”) trên các thiết bị có NMC (Thẻ quản lý mạng) và cài đặt chứng chỉ SSL được ký kỹ thuật số, cũng như chỉ hạn chế quyền truy cập vào UPS trong tường lửa tới các địa chỉ trong đám mây Schneider Electric.
Cuối cùng Nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết trong liên kết theo dõi.