Os pesquisadores de segurança da Armis descobriram três vulnerabilidades nas fontes de alimentação ininterruptas gerenciadas da APC que permitem que o dispositivo seja controlado e manipulado remotamente, como desligar a energia de certas portas ou usá-la como trampolim para ataques a outros sistemas. As vulnerabilidades têm o codinome TLStorm e afetam os APC Smart-UPS (séries SCL, SMX, SRT) e SmartConnect (séries SMT, SMTL, SCL e SMX).
Duas vulnerabilidades são causadas por erros na implementação do protocolo TLS em dispositivos gerenciados por meio de um serviço de nuvem centralizado da Schneider Electric. Os dispositivos da série SmartConnect se conectam automaticamente a um serviço de nuvem centralizado na inicialização ou perda de conexão, e um invasor sem autenticação pode explorar vulnerabilidades e obter controle total sobre o dispositivo enviando pacotes especialmente projetados para a UPS.
- CVE-2022-22805 - Estouro de buffer no código de remontagem de pacotes explorado durante o processamento de conexões de entrada. O problema é causado pela cópia de dados para o buffer durante o processamento de registros TLS fragmentados. A exploração da vulnerabilidade é facilitada pelo tratamento incorreto de erros ao usar a biblioteca Mocana nanoSSL - após retornar um erro, a conexão não foi fechada.
- CVE-2022-22806 - Desvio de autenticação ao estabelecer uma sessão TLS causado por um erro de estado durante a negociação da conexão. Armazenar em cache uma chave TLS nula não inicializada e ignorar o código de erro retornado pela biblioteca Mocana nanoSSL quando um pacote com uma chave vazia foi recebido tornou possível fingir ser um servidor Schneider Electric sem passar pelo estágio de troca e verificação de chaves.
A terceira vulnerabilidade (CVE-2022-0715) está associada a uma implementação incorreta da verificação do firmware baixado para atualização e permite que um invasor instale um firmware modificado sem verificar a assinatura digital (descobriu que o firmware não verifica a assinatura digital de forma alguma , mas usa apenas criptografia simétrica com uma chave predefinida no firmware).
Combinado com a vulnerabilidade CVE-2022-22805, um invasor pode substituir o firmware remotamente, representando um serviço de nuvem da Schneider Electric ou iniciando uma atualização de uma rede local. Tendo obtido acesso ao no-break, um invasor pode colocar um backdoor ou código malicioso no dispositivo, bem como realizar sabotagem e desligar consumidores importantes, por exemplo, desligar sistemas de videovigilância em bancos ou suporte de vida aparelhos em hospitais.
A Schneider Electric preparou patches para corrigir problemas e também está preparando uma atualização de firmware. Para reduzir o risco de comprometimento, também é recomendável alterar a senha padrão ("apc") nos dispositivos com cartão NMC (Network Management Card) e instalar um certificado SSL assinado digitalmente, além de restringir o acesso ao UPS no firewall apenas para endereços Schneider Electric Cloud.
Fonte: opennet.ru