Säkerhetsforskare från Armis har avslöjat tre sårbarheter i APC-hanterade avbrottsfria strömförsörjningar som kan göra det möjligt att ta över och manipulera fjärrkontrollen av enheten, som att stänga av strömmen till vissa portar eller använda den som en språngbräda för attacker mot andra system. Sårbarheterna har kodnamnet TLStorm och påverkar APC Smart-UPS-enheter (SCL, SMX, SRT-serien) och SmartConnect (SMT, SMTL, SCL och SMX-serien).
De två sårbarheterna orsakas av fel i implementeringen av TLS-protokollet i enheter som hanteras via en centraliserad molntjänst från Schneider Electric. Enheter i SmartConnect-serien ansluter automatiskt till en centraliserad molntjänst vid start eller förlust av anslutning och en angripare utan autentisering kan utnyttja sårbarheter och få full kontroll över enheten genom att skicka specialdesignade paket till UPS.
- CVE-2022-22805 - Ett buffertspill i paketåtersammansättningskoden, som utnyttjas vid bearbetning av inkommande anslutningar. Problemet orsakas av att data kopieras till en buffert medan fragmenterade TLS-poster bearbetas. Exploateringen av sårbarheten underlättas av felaktig felhantering vid användning av Mocana nanoSSL-biblioteket - efter att ha returnerat ett fel stängdes inte anslutningen.
- CVE-2022-22806 - Förbikoppling av autentisering under etablering av TLS-session, orsakad av ett tillståndsdetekteringsfel under anslutningsförhandling. Genom att cachelagra en oinitierad null TLS-nyckel och ignorera felkoden som returneras av Mocana nanoSSL-biblioteket när ett paket med en tom nyckel anlände, var det möjligt att utge sig för att vara en Schneider Electric-server utan att gå igenom nyckelutbytes- och verifieringsstadiet.
Den tredje sårbarheten (CVE-2022-0715) är associerad med en felaktig implementering av att kontrollera den nedladdade fasta programvaran för uppdatering och tillåter en angripare att installera modifierad firmware utan att kontrollera den digitala signaturen (det visade sig att den digitala signaturen för den fasta programvaran inte kontrolleras alls, men använder bara symmetrisk kryptering med en nyckel fördefinierad i den fasta programvaran).
I kombination med CVE-2022-22805-sårbarheten kan en angripare ersätta den fasta programvaran på distans genom att utge sig för en Schneider Electric-molntjänst eller genom att initiera en uppdatering från ett lokalt nätverk. Efter att ha fått tillgång till UPS:en kan en angripare placera en bakdörr eller skadlig kod på enheten, samt begå sabotage och stänga av strömmen till viktiga konsumenter, till exempel stänga av strömmen till videoövervakningssystem i banker eller livsuppehållande enheter i sjukhus.
Schneider Electric har förberett patchar för att åtgärda problemen och förbereder även en firmwareuppdatering. För att minska risken för kompromisser rekommenderas det dessutom att ändra standardlösenordet (“apc”) på enheter med ett NMC (Network Management Card) och installera ett digitalt signerat SSL-certifikat, samt begränsa åtkomsten till UPS på brandväggen till Endast Schneider Electric Cloud-adresser.
Källa: opennet.ru