Armis 安全研究人員在 APC 的託管不間斷電源中發現了三個漏洞,這些漏洞允許遠程控制和操縱設備,例如關閉某些端口的電源或將其用作攻擊其他系統的跳板。 這些漏洞代號為 TLStorm,影響 APC Smart-UPS(SCL、SMX、SRT 系列)和 SmartConnect(SMT、SMTL、SCL 和 SMX 系列)。
在通過施耐德電氣的集中式雲服務管理的設備中,TLS 協議的實施錯誤導致了兩個漏洞。 SmartConnect 系列設備在啟動或連接丟失時自動連接到集中式雲服務,未經身份驗證的攻擊者可以利用漏洞並通過向 UPS 發送專門設計的數據包來完全控制設備。
- CVE-2022-22805 - 在處理傳入連接時利用數據包重組代碼中的緩衝區溢出。 該問題是由於在處理碎片化的 TLS 記錄時將數據複製到緩衝區引起的。 使用 Mocana nanoSSL 庫時不正確的錯誤處理促進了漏洞的利用——返回錯誤後,連接未關閉。
- CVE-2022-22806 - 建立 TLS 會話時身份驗證繞過,由連接協商期間的狀態錯誤引起。 緩存未初始化的空 TLS 密鑰並忽略 Mocana nanoSSL 庫在收到帶有空密鑰的數據包時返回的錯誤代碼,這使得無需經過密鑰交換和驗證階段就可以偽裝成施耐德電氣服務器。
第三個漏洞 (CVE-2022-0715) 與檢查下載更新固件的不正確實施相關,並允許攻擊者安裝修改後的固件而不驗證數字簽名(原來固件根本不檢查數字簽名) ,但僅使用固件中預定義密鑰的對稱加密)。
結合 CVE-2022-22805 漏洞,攻擊者可以通過模擬施耐德電氣雲服務或從本地網絡啟動更新來遠程替換固件。 獲得對 UPS 的訪問權限後,攻擊者可以在設備上放置後門或惡意代碼,以及進行破壞並關閉重要用戶的電源,例如,關閉銀行視頻監控系統或生命支持系統的電源醫院裡的設備。
施耐德電氣已經準備好修復問題的補丁,同時也在準備固件更新。 為降低洩露風險,還建議在帶有 NMC(網絡管理卡)卡的設備上更改默認密碼(“apc”)並安裝數字簽名的 SSL 證書,並在防火牆上限制對 UPS 的訪問僅限施耐德電氣雲地址。
來源: opennet.ru