Sicherheitsforscher von Armis haben drei Schwachstellen in von APC verwalteten unterbrechungsfreien Stromversorgungen aufgedeckt, die es einem Remote-Angreifer ermöglichen könnten, die Kontrolle über das Gerät zu übernehmen und seinen Betrieb zu manipulieren, beispielsweise indem er die Stromversorgung bestimmter Ports unterbricht oder es als Sprungbrett für Angriffe auf andere Systeme nutzt. Die Schwachstellen tragen den Codenamen TLStorm und betreffen APC Smart-UPS-Geräte (Serien SCL, SMX, SRT) und SmartConnect-Geräte (Serien SMT, SMTL, SCL und SMX).
Die beiden Schwachstellen werden durch Fehler bei der Implementierung des TLS-Protokolls in Geräten verursacht, die über einen zentralen Cloud-Dienst von Schneider Electric verwaltet werden. Geräte der SmartConnect-Serie stellen beim Start oder bei Verbindungsverlust automatisch eine Verbindung zu einem zentralen Cloud-Dienst her. Ein nicht authentifizierter Angreifer kann Schwachstellen ausnutzen und die vollständige Kontrolle über das Gerät erlangen, indem er speziell entwickelte Pakete an die USV sendet.
- CVE-2022-22805 – Pufferüberlauf im Paket-Reassemblierungscode, der während der Verarbeitung eingehender Verbindungen ausgenutzt wird. Das Problem wird durch das Kopieren von Daten in den Puffer während der Verarbeitung fragmentierter TLS-Datensätze verursacht. Die Ausnutzung der Schwachstelle wird durch eine fehlerhafte Fehlerbehandlung bei Verwendung der Mocana nanoSSL-Bibliothek erleichtert – nach der Rückgabe eines Fehlers wurde die Verbindung nicht geschlossen.
- CVE-2022-22806 – Umgehung der Authentifizierung beim Aufbau einer TLS-Sitzung aufgrund eines Fehlers bei der Statusbestimmung während der Verbindungsverhandlung. Das Zwischenspeichern eines nicht initialisierten Null-TLS-Schlüssels und das Ignorieren des von der Mocana-nanoSSL-Bibliothek beim Empfang eines Pakets mit einem leeren Schlüssel zurückgegebenen Fehlercodes ermöglichten es einem Angreifer, sich als TLS-Mitglied auszugeben. Server Schneider Electric ohne den Schlüsselaustausch und die Verifizierungsphase zu durchlaufen.
Die dritte Sicherheitslücke (CVE-2022-0715) hängt mit der fehlerhaften Implementierung der Überprüfung der zum Aktualisieren heruntergeladenen Firmware zusammen und ermöglicht es einem Angreifer, geänderte Firmware zu installieren, ohne die digitale Signatur zu überprüfen (es stellte sich heraus, dass die digitale Signatur der Firmware überhaupt nicht überprüft wird, sondern nur eine symmetrische Verschlüsselung mit einem in der Firmware vordefinierten Schlüssel verwendet wird).
In Kombination mit der Sicherheitslücke CVE-2022-22805 kann ein Angreifer die Firmware aus der Ferne ersetzen, indem er sich als Cloud-Dienst von Schneider Electric ausgibt oder ein Update vom lokalen Netzwerk aus initiiert. Durch den Zugriff auf eine USV kann ein Angreifer eine Hintertür oder Schadcode auf dem Gerät platzieren, Sabotageakte begehen und wichtige Verbraucher vom Stromnetz trennen, zum Beispiel Videoüberwachungssysteme in Banken oder lebenserhaltende Geräte in Krankenhäusern.
Schneider Electric hat Patches zur Behebung der Probleme veröffentlicht und bereitet ein Firmware-Update vor. Um das Risiko eines Sicherheitsvorfalls zu minimieren, wird außerdem empfohlen, das Standardpasswort („apc“) auf Geräten mit Netzwerkmanagementkarte (NMC) zu ändern und ein digital signiertes Passwort zu installieren. SSL-Zertifikatund den Zugriff auf die USV über die Firewall ausschließlich auf Schneider Electric Cloud-Adressen zu beschränken.
Source: opennet.ru
