Sicherheitsforscher von Armis haben drei Schwachstellen in von APC verwalteten unterbrechungsfreien Stromversorgungen aufgedeckt, die es ermöglichen könnten, die Fernsteuerung des Geräts zu übernehmen und zu manipulieren, beispielsweise die Stromversorgung bestimmter Ports abzuschalten oder es als Sprungbrett für Angriffe auf andere Systeme zu nutzen. Die Schwachstellen tragen den Codenamen TLStorm und betreffen APC Smart-UPS-Geräte (Serien SCL, SMX, SRT) und SmartConnect (Serien SMT, SMTL, SCL und SMX).
Die beiden Schwachstellen werden durch Fehler bei der Implementierung des TLS-Protokolls in Geräten verursacht, die über einen zentralen Cloud-Dienst von Schneider Electric verwaltet werden. Geräte der SmartConnect-Serie stellen beim Starten oder Verbindungsverlust automatisch eine Verbindung zu einem zentralen Cloud-Dienst her, und ein Angreifer ohne Authentifizierung kann Schwachstellen ausnutzen und die volle Kontrolle über das Gerät erlangen, indem er speziell entwickelte Pakete an UPS sendet.
- CVE-2022-22805 – Ein Pufferüberlauf im Paket-Reassembly-Code, der bei der Verarbeitung eingehender Verbindungen ausgenutzt wird. Das Problem wird durch das Kopieren von Daten in einen Puffer während der Verarbeitung fragmentierter TLS-Datensätze verursacht. Das Ausnutzen der Schwachstelle wird durch eine fehlerhafte Fehlerbehandlung bei der Verwendung der Mocana nanoSSL-Bibliothek erleichtert – nach Rückgabe eines Fehlers wurde die Verbindung nicht geschlossen.
- CVE-2022-22806 – Authentifizierungsumgehung beim Aufbau einer TLS-Sitzung, verursacht durch einen Statuserkennungsfehler während der Verbindungsaushandlung. Durch das Zwischenspeichern eines nicht initialisierten Null-TLS-Schlüssels und das Ignorieren des Fehlercodes, der von der Mocana nanoSSL-Bibliothek zurückgegeben wurde, wenn ein Paket mit einem leeren Schlüssel eintraf, war es möglich, sich als Schneider Electric-Server auszugeben, ohne die Schlüsselaustausch- und Verifizierungsphase durchlaufen zu müssen.
Die dritte Schwachstelle (CVE-2022-0715) hängt mit einer fehlerhaften Implementierung der Überprüfung der zur Aktualisierung heruntergeladenen Firmware zusammen und ermöglicht es einem Angreifer, geänderte Firmware zu installieren, ohne die digitale Signatur zu überprüfen (es stellte sich heraus, dass die digitale Signatur der Firmware nicht überprüft wird). überhaupt, nutzt aber nur die symmetrische Verschlüsselung mit einem in der Firmware vordefinierten Schlüssel).
In Kombination mit der Schwachstelle CVE-2022-22805 kann ein Angreifer die Firmware aus der Ferne ersetzen, indem er sich als Cloud-Dienst von Schneider Electric ausgibt oder ein Update über ein lokales Netzwerk initiiert. Nachdem sich ein Angreifer Zugang zur USV verschafft hat, kann er eine Hintertür oder einen bösartigen Code auf dem Gerät platzieren sowie Sabotage begehen und die Stromversorgung wichtiger Verbraucher unterbrechen, beispielsweise durch die Unterbrechung der Stromversorgung von Videoüberwachungssystemen in Banken oder lebenserhaltenden Geräten in Krankenhäuser.
Schneider Electric hat Patches zur Behebung der Probleme vorbereitet und bereitet außerdem ein Firmware-Update vor. Um das Risiko einer Kompromittierung zu verringern, wird außerdem empfohlen, auf Geräten mit einer NMC (Network Management Card) das Standardkennwort („apc“) zu ändern und ein digital signiertes SSL-Zertifikat zu installieren sowie den Zugriff auf UPS in der Firewall auf zu beschränken Nur Schneider Electric Cloud-Adressen.
Source: opennet.ru