Analitycy bezpieczeństwa firmy Armis odkryli trzy luki w zarządzanych zasilaczach awaryjnych firmy APC, które umożliwiają zdalne sterowanie i manipulowanie urządzeniem, takie jak wyłączanie zasilania niektórych portów lub wykorzystywanie go jako trampoliny do ataków na inne systemy. Luki noszą nazwę kodową TLStorm i dotyczą APC Smart-UPS (serie SCL, SMX, SRT) oraz SmartConnect (serie SMT, SMTL, SCL i SMX).
Dwie luki są spowodowane błędami w implementacji protokołu TLS w urządzeniach zarządzanych przez scentralizowaną usługę chmurową firmy Schneider Electric. Urządzenia z serii SmartConnect automatycznie łączą się ze scentralizowaną usługą w chmurze po uruchomieniu lub utracie połączenia, a atakujący bez uwierzytelnienia może wykorzystać luki w zabezpieczeniach i uzyskać pełną kontrolę nad urządzeniem, wysyłając specjalnie zaprojektowane pakiety do UPS.
- CVE-2022-22805 — Przepełnienie bufora w kodzie ponownego składania pakietów wykorzystywane podczas przetwarzania połączeń przychodzących. Problem jest spowodowany kopiowaniem danych do bufora podczas przetwarzania pofragmentowanych rekordów TLS. Wykorzystanie podatności ułatwia niewłaściwa obsługa błędów podczas korzystania z biblioteki Mocana nanoSSL - po zwróceniu błędu połączenie nie zostało zamknięte.
- CVE-2022-22806 — Pominięcie uwierzytelniania podczas ustanawiania sesji TLS spowodowane błędem stanu podczas negocjowania połączenia. Buforowanie niezainicjowanego pustego klucza TLS i ignorowanie kodu błędu zwracanego przez bibliotekę Mocana nanoSSL po otrzymaniu pakietu z pustym kluczem umożliwiło udawanie serwera Schneider Electric bez przechodzenia przez etap wymiany i weryfikacji klucza.
Trzecia luka (CVE-2022-0715) jest związana z błędną implementacją sprawdzania oprogramowania pobranego do aktualizacji i umożliwia atakującemu zainstalowanie zmodyfikowanego oprogramowania bez weryfikacji podpisu cyfrowego (okazało się, że oprogramowanie w ogóle nie sprawdza podpisu cyfrowego , ale używa tylko szyfrowania symetrycznego z kluczem predefiniowanym w oprogramowaniu układowym).
W połączeniu z luką CVE-2022-22805 osoba atakująca może zdalnie wymienić oprogramowanie wewnętrzne, podszywając się pod usługę chmurową Schneider Electric lub inicjując aktualizację z sieci lokalnej. Po uzyskaniu dostępu do UPS, atakujący może umieścić backdoora lub złośliwy kod na urządzeniu, a także dokonać sabotażu i wyłączyć zasilanie ważnych odbiorców, np. wyłączyć zasilanie systemów nadzoru wideo w bankach lub systemów podtrzymywania życia urządzeń w szpitalach.
Schneider Electric przygotował poprawki rozwiązujące problemy, a także przygotowuje aktualizację oprogramowania sprzętowego. Aby zmniejszyć ryzyko włamania, dodatkowo zaleca się zmianę domyślnego hasła („apc”) na urządzeniach z kartą NMC (Network Management Card) oraz zainstalowanie podpisanego cyfrowo certyfikatu SSL, a także ograniczenie dostępu do UPS na zaporze ogniowej tylko do adresów Schneider Electric Cloud.
Źródło: opennet.ru