Набор из трех критических уязвимостей нулевого дня, которые теперь отслеживаются как TLStorm, может позволить хакерам получить контроль над источниками бесперебойного питания (UPS) от APC, дочерней компании Schneider Electric.
Недостатки затрагивают системы APC Smart-UPS, которые популярны в самых разных сферах деятельности, включая государственные учреждения, здравоохранение, промышленность, ИТ и розничную торговлю.
Устройства ИБП действуют как решения для аварийного резервного питания и присутствуют в критически важных средах, таких как центры обработки данных, промышленные объекты, больницы.
Риск физического воздействия
Исследователи из Armis, компании, предоставляющей решения для обеспечения безопасности подключенных устройств на предприятиях, обнаружили три проблемы в семействе продуктов APC SmartConnect и Smart-UPS.Две уязвимости, CVE-2022-22805 и CVE-2022-22806, связаны с реализацией протокола TLS (Transport Layer Security), который подключает устройства Smart-UPS с функцией «SmartConnect» к облаку управления Schneider Electric.
Третий, обозначенный как CVE-2022-0715, относится к прошивке «почти всех устройств APC Smart-UPS», которая не имеет криптографической подписи и ее подлинность невозможно проверить при установке в систему.
Хотя микропрограмма зашифрована (симметрична), в ней отсутствует криптографическая подпись, что позволяет злоумышленникам создавать ее вредоносную версию и доставлять ее в качестве обновления на целевые устройства ИБП для удаленного выполнения кода (RCE).
Исследователям Armis удалось воспользоваться этой уязвимостью и создать вредоносную версию прошивки APC, которая была принята устройствами Smart-UPS в качестве официального обновления. Этот процесс выполняется по-разному в зависимости от цели:
- Новейшие устройства Smart-UPS с функцией подключения к облаку SmartConnect можно обновить с консоли управления облаком через Интернет.
- Старые устройства Smart-UPS, использующие карту сетевого управления (NMC), можно обновлять по локальной сети.
- Большинство устройств Smart-UPS также можно обновить с помощью USB-накопителя.
Уязвимости, связанные с TLS, которые обнаружил Армис, кажутся более серьезными, поскольку они могут быть использованы злоумышленником, не прошедшим проверку подлинности, без взаимодействия с пользователем, что известно как атака с нулевым щелчком.
«[CVE-2022-22806 и CVE-2022-22805] связаны с TLS-соединением между ИБП и облаком Schneider Electric. Устройства, поддерживающие функцию SmartConnect, автоматически устанавливают TLS-соединение при запуске или всякий раз, когда облачное соединение временно теряется», — Armis Labs.
Обе уязвимости вызваны неправильной обработкой ошибок TLS в TLS-подключении от Smart-UPS к серверу Schneider Electric, и при правильном использовании они приводят к удаленному выполнению кода.
Одна из проблем безопасности — это обход аутентификации, вызванный «путанием состояний в рукопожатии TLS», другая — ошибка повреждения памяти.
В сегодняшней записи в блоге Армис показывает, как уязвимости могут быть использованы удаленным злоумышленником:
Рекомендации по смягчению последствий
В отчете исследователей объясняются технические аспекты всех трех уязвимостей TLStorm и содержится набор рекомендаций по защите устройств ИБП:- Установите исправления, доступные на веб-сайте Schneider Electric.
- Если вы используете ПСУ, измените пароль ПСУ по умолчанию («apc») и установите сертификат SSL с открытой подписью, чтобы злоумышленник в вашей сети не смог перехватить новый пароль. Чтобы еще больше ограничить поверхность атаки вашей ПСУ, см. Справочник по безопасности Schneider Electric для ПСУ 2 и ПСУ 3 .
- Разверните списки управления доступом (ACL), в которых устройствам ИБП разрешено обмениваться данными только с небольшим набором устройств управления и Schneider Electric Cloud посредством зашифрованной связи.