Cercetătorii de securitate de la Armis au dezvăluit trei vulnerabilități în sursele de alimentare neîntreruptibile gestionate de APC care ar putea permite preluarea și manipularea controlului de la distanță al dispozitivului, cum ar fi oprirea alimentării anumitor porturi sau folosirea acestuia ca trambulină pentru atacuri asupra altor sisteme. Vulnerabilitățile poartă numele de cod TLStorm și afectează dispozitivele APC Smart-UPS (seria SCL, SMX, SRT) și SmartConnect (seria SMT, SMTL, SCL și SMX).
Cele două vulnerabilități sunt cauzate de erori în implementarea protocolului TLS în dispozitivele gestionate printr-un serviciu cloud centralizat de la Schneider Electric. Dispozitivele din seria SmartConnect, la pornire sau la pierderea conexiunii, se conectează automat la un serviciu cloud centralizat, iar un atacator fără autentificare poate exploata vulnerabilitățile și obține controlul deplin asupra dispozitivului prin trimiterea de pachete special concepute către UPS.
- CVE-2022-22805 - O depășire a tamponului în codul de reasamblare a pachetelor, exploatat la procesarea conexiunilor de intrare. Problema este cauzată de copierea datelor într-un buffer în timpul procesării înregistrărilor TLS fragmentate. Exploatarea vulnerabilității este facilitată de gestionarea incorectă a erorilor la utilizarea bibliotecii Mocana nanoSSL - după returnarea unei erori, conexiunea nu a fost închisă.
- CVE-2022-22806 - Ocolire a autentificării în timpul stabilirii sesiunii TLS, cauzată de o eroare de detectare a stării în timpul negocierii conexiunii. Prin memorarea în cache a unei chei TLS nulă neinițializată și ignorând codul de eroare returnat de biblioteca Mocana nanoSSL la sosirea unui pachet cu o cheie goală, a fost posibil să se pretindă a fi un server Schneider Electric fără a trece prin etapa de schimb de chei și verificare.
A treia vulnerabilitate (CVE-2022-0715) este asociată cu o implementare incorectă a verificării firmware-ului descărcat pentru actualizare și permite unui atacator să instaleze firmware modificat fără a verifica semnătura digitală (s-a dovedit că semnătura digitală a firmware-ului nu este verificată deloc, dar folosește doar criptarea simetrică cu o cheie predefinită în firmware).
Atunci când este combinat cu vulnerabilitatea CVE-2022-22805, un atacator poate înlocui firmware-ul de la distanță prin uzurparea identității unui serviciu cloud Schneider Electric sau inițiind o actualizare dintr-o rețea locală. După ce a obținut acces la UPS, un atacator poate plasa o ușă în spate sau un cod rău intenționat pe dispozitiv, precum și să comită sabotaj și să întrerupă alimentarea consumatorilor importanți, de exemplu, întrerupând alimentarea sistemelor de supraveghere video din bănci sau a dispozitivelor de susținere a vieții în spitale.
Schneider Electric a pregătit patch-uri pentru a remedia problemele și pregătește și o actualizare de firmware. Pentru a reduce riscul de compromis, se recomandă în plus să schimbați parola implicită („apc”) pe dispozitivele cu NMC (Network Management Card) și să instalați un certificat SSL semnat digital, precum și să limitați accesul la UPS pe firewall la Numai adresele Schneider Electric Cloud.
Sursa: opennet.ru