I ricercatori di sicurezza di Armis hanno rivelato tre vulnerabilità nei sistemi di alimentazione non interrompibile (UPS) gestiti APC, che consentono di prendere il controllo del dispositivo in remoto e manipolarne il funzionamento, ad esempio disattivando l'alimentazione per determinate porte o utilizzandolo come trampolino di lancio per attacchi su altri sistemi. Le vulnerabilità sono state soprannominate TLStorm e interessano i dispositivi APC Smart-UPS (serie SCL, SMX, SRT) e SmartConnect (serie SMT, SMTL, SCL e SMX).
Due vulnerabilità sono causate da errori nell'implementazione del protocollo TLS nei dispositivi gestiti tramite il servizio cloud centralizzato di Schneider Electric. I dispositivi della serie SmartConnect si connettono automaticamente al servizio cloud centralizzato all'avvio o in caso di perdita della connessione, e un attaccante può sfruttare le vulnerabilità senza autenticazione e ottenere il pieno controllo sul dispositivo inviando pacchetti appositamente formattati all'UPS.
- CVE-2022-22805 — overflow di buffer nel codice di ricompilazione dei pacchetti, sfruttato durante l'elaborazione delle connessioni in entrata. Il problema è causato dalla copia dei dati nel buffer durante l'elaborazione dei record TLS frammentati. L'exploitation della vulnerabilità è facilitata da una gestione errata degli errori nell'uso della libreria Mocana nanoSSL; dopo il ritorno di un errore, la connessione non veniva chiusa.
- CVE-2022-22806 — bypass dell'autenticazione durante la creazione della sessione TLS, causato da un errore nella determinazione dello stato durante il processo di handshake. La memorizzazione nella cache di una chiave TLS nulla non inizializzata e l'ignoranza del codice di errore restituito dalla libreria Mocana nanoSSL durante la ricezione di un pacchetto con una chiave vuota consentivano di fingersi server Schneider Electric senza passare attraverso la fase di scambio e verifica delle chiavi.

La terza vulnerabilità (CVE-2022-0715) è legata a un'implementazione errata del controllo delle firmware caricati per l'aggiornamento, consentendo a un attaccante di installare un firmware modificato senza verifica della firma digitale (si è scoperto che le firme digitali non vengono affatto verificate, ma viene utilizzata solo una crittografia simmetrica con una chiave predefinita nel firmware).
In combinazione con la vulnerabilità CVE-2022-22805, un attaccante può sostituire il firmware da remoto, spacciandosi per un servizio cloud dell'azienda Schneider Electric o avviando un aggiornamento dalla rete locale. Accedendo all'UPS, l'attaccante può collocare un backdoor o codice malevolo sul dispositivo, nonché effettuare sabotaggi per interrompere l'alimentazione a consumatori importanti, come disattivare i sistemi di videosorveglianza nelle banche o i dispositivi di assistenza vitale negli ospedali.

L'azienda Schneider Electric ha preparato patch per risolvere i problemi e sta preparando un aggiornamento del firmware. Per ridurre il rischio di compromissione, si raccomanda inoltre di modificare la password predefinita ('apc') su dispositivi con la scheda NMC (Network Management Card) e di installare una firma digitale certificata. Certificato SSL, e limitare l'accesso a UPS nel firewall solo agli indirizzi Schneider Electric Cloud.
Fonte: opennet.ru

