Les chercheurs en sécurité d'Armis ont révélé trois vulnérabilités dans les alimentations sans interruption gérées par APC qui pourraient permettre de prendre le contrôle et de manipuler le périphérique à distance, par exemple en coupant l'alimentation de certains ports ou en l'utilisant comme tremplin pour des attaques sur d'autres systèmes. Les vulnérabilités portent le nom de code TLStorm et affectent les appareils APC Smart-UPS (séries SCL, SMX, SRT) et SmartConnect (séries SMT, SMTL, SCL et SMX).
Les deux vulnérabilités sont causées par des erreurs dans la mise en œuvre du protocole TLS dans les appareils gérés via un service cloud centralisé de Schneider Electric. Les appareils de la série SmartConnect, au démarrage ou à la perte de connexion, se connectent automatiquement à un service cloud centralisé et un attaquant sans authentification peut exploiter les vulnérabilités et prendre le contrôle total de l'appareil en envoyant des colis spécialement conçus à UPS.
- CVE-2022-22805 - Un débordement de tampon dans le code de réassemblage des paquets, exploité lors du traitement des connexions entrantes. Le problème est dû à la copie des données dans un tampon lors du traitement des enregistrements TLS fragmentés. L'exploitation de la vulnérabilité est facilitée par une gestion incorrecte des erreurs lors de l'utilisation de la bibliothèque Mocana nanoSSL - après avoir renvoyé une erreur, la connexion n'a pas été fermée.
- CVE-2022-22806 - Contournement d'authentification lors de l'établissement d'une session TLS, provoqué par une erreur de détection d'état lors de la négociation de connexion. En mettant en cache une clé TLS nulle non initialisée et en ignorant le code d'erreur renvoyé par la bibliothèque Mocana nanoSSL à l'arrivée d'un paquet avec une clé vide, il était possible de se faire passer pour un serveur Schneider Electric sans passer par l'étape d'échange de clé et de vérification.
La troisième vulnérabilité (CVE-2022-0715) est associée à une implémentation incorrecte de la vérification du firmware téléchargé pour mise à jour et permet à un attaquant d'installer un firmware modifié sans vérifier la signature numérique (il s'est avéré que la signature numérique du firmware n'est pas vérifiée du tout, mais utilise uniquement un cryptage symétrique avec une clé prédéfinie dans le firmware) .
En combinaison avec la vulnérabilité CVE-2022-22805, un attaquant peut remplacer le micrologiciel à distance en se faisant passer pour un service cloud Schneider Electric ou en lançant une mise à jour à partir d'un réseau local. Après avoir accédé à l'onduleur, un attaquant peut placer une porte dérobée ou un code malveillant sur l'appareil, ainsi que commettre du sabotage et couper l'alimentation électrique des consommateurs importants, par exemple en coupant l'alimentation des systèmes de vidéosurveillance dans les banques ou des appareils de survie dans les hôpitaux.
Schneider Electric a préparé des correctifs pour résoudre les problèmes et prépare également une mise à jour du firmware. Pour réduire le risque de compromission, il est en outre recommandé de modifier le mot de passe par défaut (« apc ») sur les appareils dotés d'une NMC (Network Management Card) et d'installer un certificat SSL signé numériquement, ainsi que de limiter l'accès à UPS sur le pare-feu à Adresses Schneider Electric Cloud uniquement.
Source: opennet.ru